Détails de l’initiative intégrée de conformité réglementaire NIST SP 800-171 R2

L’article suivant explique en détail comment la définition de l’initiative intégrée Conformité réglementaire Azure Policy est mappée à des domaines de conformité et des contrôles dans NIST SP 800-171 R2. Pour plus d’informations sur cette norme de conformité, consultez NIST SP 800-171 R2. Pour comprendre la propriété, consultez Définition de stratégie Azure Policy et Responsabilité partagée dans le cloud.

Les mappages suivants concernent les contrôles NIST SP 800-171 R2. De nombreux contrôles sont mis en œuvre avec la définition d’une initiative Azure Policy. Pour examiner la définition d’initiative complète, ouvrez Stratégie dans le Portail Azure et sélectionnez la page Définitions. Ensuite, recherchez et sélectionnez la définition d'initiative intégrée de conformité réglementaire NIST SP 800-171 Rev. 2.

Important

Chaque contrôle ci-dessous est associé à une ou plusieurs définitions Azure Policy. Ces stratégies peuvent vous aider à évaluer la conformité avec le contrôle ; toutefois, il n’existe pas souvent de correspondance un-à-un ou parfaite entre un contrôle et une ou plusieurs stratégies. Ainsi, la conformité dans Azure Policy fait uniquement référence aux définitions de stratégie elles-mêmes ; cela ne garantit pas que vous êtes entièrement conforme à toutes les exigences d’un contrôle. En outre, la norme de conformité comprend des contrôles qui ne sont traités par aucune définition Azure Policy pour l’instant. Par conséquent, la conformité dans Azure Policy n’est qu’une vue partielle de l’état de conformité global. Les associations entre les domaines de conformité, les contrôles et les définitions Azure Policy pour cette norme de conformité peuvent changer au fil du temps. Pour afficher l’historique des changements, consultez l’historique des validations GitHub.

Contrôle d’accès

Limiter l’accès système aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés, et aux appareils (y compris d’autres systèmes).

ID : NIST SP 800-171 R2 3.1.1 Propriété : Partagé

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
3 propriétaires maximum doivent être désignés pour votre abonnement	Il est recommandé de désigner jusqu'à 3 propriétaires d'abonnement pour réduire le risque de violation par un propriétaire compromis.	AuditIfNotExists, Désactivé	3.0.0
Les comptes disposant d’autorisations de propriétaire sur les ressources Azure doivent être compatibles avec l’authentification multifacteur	MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant d'autorisations de propriétaire afin d'éviter une violation des comptes ou des ressources.	AuditIfNotExists, Désactivé	1.0.0
Les comptes disposant d’autorisations en lecture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur	MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en lecture afin d'éviter une violation des comptes ou des ressources.	AuditIfNotExists, Désactivé	1.0.0
Les comptes disposant d’autorisations en écriture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur	MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en écriture pour éviter une violation des comptes ou des ressources.	AuditIfNotExists, Désactivé	1.0.0
Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles sans identité	Cette stratégie ajoute une identité managée affectée par le système aux machines virtuelles hébergées dans Azure et qui sont prises en charge par Guest Configuration, mais qui n’ont pas d’identité managée. Une identité managée affectée par le système est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol.	modify	4.1.0
Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles qui ont une identité affectée par l’utilisateur	Cette stratégie ajoute une identité managée affectée par le système aux machines virtuelles, hébergées dans Azure, qui sont prises en charge par Guest Configuration et ont au moins une identité affectée par l’utilisateur, mais pas d’identité managée affectée par le système. Une identité managée affectée par le système est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol.	modify	4.1.0
Un administrateur Azure Active Directory doit être approvisionné pour les serveurs SQL	Auditer l’approvisionnement d’un administrateur Azure Active Directory pour votre serveur SQL afin d’activer l’authentification Azure AD. L’authentification Azure AD permet une gestion simplifiée des autorisations et une gestion centralisée des utilisateurs de bases de données et d’autres services Microsoft	AuditIfNotExists, Désactivé	1.0.0
App Configuration doit utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à vos instances de configuration d’application plutôt qu’à l’ensemble du service, vous êtes également protégé contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/appconfig/private-endpoint.	AuditIfNotExists, Désactivé	1.0.2
Le débogage à distance doit être désactivé pour les applications App Service	Le débogage distant nécessite que des ports d’entrée soient ouverts sur une application App Service. Le débogage à distance doit être désactivé.	AuditIfNotExists, Désactivé	2.0.0
Les applications App Service doivent utiliser une identité managée	Utiliser une identité managée pour renforcer la sécurité de l’authentification	AuditIfNotExists, Désactivé	3.0.0
Auditer les machines Linux qui autorisent les connexions à distance des comptes sans mot de passe	Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Linux ne sont pas conformes si elles autorisent les connexions à distance à partir de comptes sans mot de passe	AuditIfNotExists, Désactivé	3.1.0
Auditer les machines Linux qui ont des comptes sans mot de passe	Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Linux ne sont pas conformes si elles ont des comptes sans mot de passe	AuditIfNotExists, Désactivé	3.1.0
Auditer l’utilisation des rôles RBAC personnalisés	Auditer des rôles intégrés tels que « Propriétaire, contributeur, lecteur » au lieu des rôles RBAC personnalisés, qui sont susceptibles d’engendrer des erreurs. L’utilisation de rôles personnalisés est traitée comme une exception et nécessite un contrôle rigoureux et la modélisation des menaces	Audit, Désactivé	1.0.1
L’authentification auprès des machines Linux doit exiger des clés SSH	Bien que le protocole SSH lui-même offre une connexion chiffrée, l’utilisation de mots de passe avec SSH laisse néanmoins la machine virtuelle vulnérable aux attaques en force brute. L’option la plus sûre pour l’authentification auprès d’une machine virtuelle Linux Azure via SSH est d’utiliser une paire de clés publique-privée, également appelées clés SSH. En savoir plus : https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed.	AuditIfNotExists, Désactivé	3.2.0
Les ressources Azure AI Services doivent avoir l’accès par clé désactivé (désactiver l’authentification locale)	Pour des raisons de sécurité, il est recommandé de désactiver l’accès à la clé (authentification locale). Azure OpenAI Studio, généralement utilisé dans le développement/test, nécessite un accès à la clé et ne fonctionnera pas si l’accès à la clé est désactivé. Après la désactivation, Microsoft Entra ID devient la seule méthode d’accès, qui permet de conserver le principe de privilège minimal et le contrôle granulaire. Plus d’informations sur : https://aka.ms/AI/auth	Audit, Refuser, Désactivé	1.1.0
API Azure pour FHIR doit utiliser une liaison privée	API Azure pour FHIR doit avoir au moins une connexion de point de terminaison privé approuvée. Les clients d’un réseau virtuel peuvent accéder de façon sécurisée aux ressources qui ont des connexions de point de terminaison privés via des liens privés. Pour plus d’informations, consultez https://aka.ms/fhir-privatelink.	Audit, Désactivé	1.0.0
Azure Cache pour Redis doit utiliser une liaison privée	Les points de terminaison privés vous permettent de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à vos instances Azure Cache pour Redis, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link.	AuditIfNotExists, Désactivé	1.0.0
Le service Recherche cognitive Azure doit utiliser une référence SKU qui prend en charge les liaisons privées	Avec les références SKU prises en charge de Recherche cognitive Azure, Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique à la source ou à la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre service de recherche, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/azure-cognitive-search/inbound-private-endpoints.	Audit, Refuser, Désactivé	1.0.0
Les services Recherche cognitive Azure doivent utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à la Recherche cognitive Azure, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/azure-cognitive-search/inbound-private-endpoints.	Audit, Désactivé	1.0.0
Azure Data Factory doit utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à Azure Data Factory, vous réduisez les risques de fuite de données. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/data-factory/data-factory-private-link.	AuditIfNotExists, Désactivé	1.0.0
Les domaines Azure Event Grid doivent utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En faisant correspondre des points de terminaison privés à votre domaine Event Grid plutôt qu’à l’ensemble du service, vous vous protégez également contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privateendpoints.	Audit, Désactivé	1.0.2
Les rubriques Azure Event Grid doivent utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En faisant correspondre des points de terminaison privés à votre rubrique Event Grid plutôt qu’à l’ensemble du service, vous vous protégez également contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privateendpoints.	Audit, Désactivé	1.0.2
Azure File Sync doit utiliser une liaison privée	La création d’un point de terminaison privé pour la ressource de service de synchronisation de stockage indiquée vous permet d’adresser votre ressource de service de synchronisation de stockage à partir de l’espace d’adressage IP privé du réseau de votre organisation, plutôt que via le point de terminaison public accessible via Internet. La création d’un point de terminaison privé ne désactive pas le point de terminaison public.	AuditIfNotExists, Désactivé	1.0.0
Les coffres de clés Azure doivent utiliser une liaison privée	Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à un coffre de clés, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/akvprivatelink.	[parameters('audit_effect')]	1.2.1
Les espaces de travail Azure Machine Learning doivent utiliser un lien privé	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des espaces de travail Azure Machine Learning, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link.	Audit, Désactivé	1.0.0
Les espaces de noms Azure Service Bus doivent utiliser la liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des espaces de noms Service Bus, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/service-bus-messaging/private-link-service.	AuditIfNotExists, Désactivé	1.0.0
Azure SignalR Service doit utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les points de terminaison privés à votre ressource Azure SignalR Service au lieu du service entier, vous réduisez les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/asrs/privatelink.	Audit, Désactivé	1.0.0
Azure Spring Cloud doit utiliser l’injection de réseau	Les instances Azure Spring Cloud doivent utiliser l’injection de réseau virtuel pour les motifs suivants : 1. Isoler Azure Spring Cloud d’Internet. 2. Permettre à Azure Spring Cloud d’interagir avec des systèmes de centres de données locaux ou des services Azure d’autres réseaux virtuels. 3. Permettre aux clients de contrôler les communications réseau entrantes et sortantes pour Azure Spring Cloud.	Audit, Désactivé, Refus	1.2.0
Les espaces de travail Azure Synapse doivent utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à l’espace de travail Azure Synapse, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links.	Audit, Désactivé	1.0.1
Le service Azure Web PubSub doit utiliser une liaison privée	Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre service Azure Web PubSub, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/awps/privatelink.	Audit, Désactivé	1.0.0
Les comptes bloqués disposant d’autorisations de propriétaire sur les ressources Azure doivent être supprimés	Les comptes déconseillés disposant d’autorisations de type propriétaire doivent être supprimés de votre abonnement. Les comptes déconseillés sont des comptes qui ont été empêchés de se connecter.	AuditIfNotExists, Désactivé	1.0.0
Les comptes bloqués disposant d’autorisations en lecture et en écriture sur les ressources Azure doivent être supprimés	Les comptes déconseillés doivent être supprimés de vos abonnements. Les comptes déconseillés sont des comptes qui ont été empêchés de se connecter.	AuditIfNotExists, Désactivé	1.0.0
Les services Cognitive Services doivent utiliser une liaison privée	Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les points de terminaison privés à Cognitive Services, vous réduisez le risque de fuite de données. En savoir plus sur les liaisons privées : https://go.microsoft.com/fwlink/?linkid=2129800.	Audit, Désactivé	3.0.0
Les registres de conteneurs doivent utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à vos registres de conteneurs plutôt qu’à l’ensemble du service, vous êtes également protégé contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/acr/private-link.	Audit, Désactivé	1.0.1
Les comptes CosmosDB doivent utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre compte CosmosDB, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints.	Audit, Désactivé	1.0.0
Définir des types de comptes de système d’information	CMA_0121 - Définir des types de comptes de système d’information	Manuel, désactivé	1.1.0
Déployer l’extension Guest Configuration Linux pour activer les affectations Guest Configuration sur les machines virtuelles Linux	Cette stratégie déploie l’extension Guest Configuration Linux sur les machines virtuelles Linux hébergées dans Azure qui sont prises en charge par Guest Configuration. L’extension Guest Configuration pour Linux est un prérequis dans toutes les affectations de Guest Configuration pour Linux. Elle doit être déployée sur les machines avant l’utilisation d’une définition de stratégie Guest Configuration pour Linux. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol.	deployIfNotExists	3.1.0
Les ressources d’accès au disque doivent utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés aux accès disque, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/disksprivatelinksdoc.	AuditIfNotExists, Désactivé	1.0.0
Les espaces de noms Event Hub doivent utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des espaces de noms Event Hub, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/event-hubs/private-link-service.	AuditIfNotExists, Désactivé	1.0.0
Le débogage à distance doit être désactivé pour les applications de fonctions	Le débogage distant nécessite que des ports d’entrée soient ouverts sur les applications de fonction. Le débogage à distance doit être désactivé.	AuditIfNotExists, Désactivé	2.0.0
Les applications de fonction doivent utiliser une identité managée	Utiliser une identité managée pour renforcer la sécurité de l’authentification	AuditIfNotExists, Désactivé	3.0.0
Les comptes invités disposant d’autorisations de propriétaire sur les ressources Azure doivent être supprimés	Les comptes externes avec des autorisations de type propriétaire doivent être supprimés de votre abonnement pour empêcher un accès non contrôlé.	AuditIfNotExists, Désactivé	1.0.0
Les comptes invités disposant d’autorisations en lecture sur les ressources Azure doivent être supprimés	Les comptes externes avec des privilèges d'accès en lecture doivent être supprimés de votre abonnement afin d'empêcher un accès non contrôlé.	AuditIfNotExists, Désactivé	1.0.0
Les comptes invités disposant d’autorisations en écriture sur les ressources Azure doivent être supprimés	Les comptes externes avec des privilèges d'accès en écriture doivent être supprimés de votre abonnement afin d'empêcher un accès non contrôlé.	AuditIfNotExists, Désactivé	1.0.0
Les instances de service d’approvisionnement d’appareils IoT Hub doivent utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les points de terminaison privés au service de provisionnement d’appareils IoT Hub, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/iotdpsvnet.	Audit, Désactivé	1.0.0
Les connexions des points de terminaison privés sur Azure SQL Database doivent être activées	Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure SQL Database privée.	Audit, Désactivé	1.1.0
Le point de terminaison privé doit être activé pour les serveurs MariaDB	Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure Database for MariaDB privée. Configurez une connexion de point de terminaison privé pour autoriser l’accès uniquement au trafic provenant de réseaux connus et empêcher l’accès à partir de toutes les autres adresses IP, y compris dans Azure.	AuditIfNotExists, Désactivé	1.0.2
Le point de terminaison privé doit être activé pour les serveurs MySQL	Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure Database pour MySQL privée. Configurez une connexion de point de terminaison privé pour autoriser l’accès uniquement au trafic provenant de réseaux connus et empêcher l’accès à partir de toutes les autres adresses IP, y compris dans Azure.	AuditIfNotExists, Désactivé	1.0.2
Le point de terminaison privé doit être activé pour les serveurs PostgreSQL	Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure Database pour PostgreSQL privée. Configurez une connexion de point de terminaison privé pour autoriser l’accès uniquement au trafic provenant de réseaux connus et empêcher l’accès à partir de toutes les autres adresses IP, y compris dans Azure.	AuditIfNotExists, Désactivé	1.0.2
Les clusters Service Fabric ne doivent utiliser Azure Active Directory que pour l’authentification client	Auditer l'utilisation de l'authentification client uniquement par le biais d'Azure Active Directory dans Service Fabric	Audit, Refuser, Désactivé	1.1.0
Les comptes de stockage doivent être migrés vers de nouvelles ressources Azure Resource Manager	Profitez des nouveautés d’Azure Resource Manager pour renforcer la sécurité de vos comptes de stockage : contrôle d’accès plus puissant, audit amélioré, déploiement et gouvernance basés sur Azure Resource Manager, accès aux identités managées, accès au coffre de clés pour les secrets, authentification basée sur Azure AD, prise en charge des étiquettes et des groupes de ressources pour faciliter la gestion de la sécurité, etc.	Audit, Refuser, Désactivé	1.0.0
Les comptes de stockage doivent limiter l’accès réseau	L’accès réseau aux comptes de stockage doit être limité. Configurez les règles du réseau de telle manière que seules les applications des réseaux autorisés puissent accéder au compte de stockage. Pour autoriser les connexions de clients Internet ou locaux spécifiques, l’accès au trafic peut être autorisé à partir de réseaux virtuels Azure spécifiques ou vers des plages d’adresses IP Internet publiques.	Audit, Refuser, Désactivé	1.1.1
Les comptes de stockage doivent utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre compte de stockage, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/azureprivatelinkoverview	AuditIfNotExists, Désactivé	2.0.0
Les machines virtuelles doivent être migrées vers de nouvelles ressources Azure Resource Manager	Utilisez le nouvel Azure Resource Manager pour renforcer la sécurité de vos machines virtuelles : contrôle d’accès en fonction du rôle (RBAC) renforcé, audit amélioré, déploiement et gouvernance basés sur Azure Resource Manager, accès aux identités managées, accès au coffre de clés pour les secrets, authentification basée sur Azure AD, et prise en charge des étiquettes et des groupes de ressources pour faciliter la gestion de la sécurité.	Audit, Refuser, Désactivé	1.0.0
Les modèles VM Image Builder doivent utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à vos ressources de création VM Image Builder, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet.	Audit, Désactivé, Refus	1.1.0

Terminez (automatiquement) les sessions utilisateur après une condition définie.

ID: NIST SP 800-171 R2 3.1.11 Propriété: Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Terminer automatiquement la session utilisateur	CMA_C1054 – Terminer automatiquement la session utilisateur	Manuel, désactivé	1.1.0

Superviser et contrôler les sessions d’accès à distance.

ID : NIST SP 800-171 R2 3.1.12 Propriété : Partagé

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles sans identité	Cette stratégie ajoute une identité managée affectée par le système aux machines virtuelles hébergées dans Azure et qui sont prises en charge par Guest Configuration, mais qui n’ont pas d’identité managée. Une identité managée affectée par le système est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol.	modify	4.1.0
Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles qui ont une identité affectée par l’utilisateur	Cette stratégie ajoute une identité managée affectée par le système aux machines virtuelles, hébergées dans Azure, qui sont prises en charge par Guest Configuration et ont au moins une identité affectée par l’utilisateur, mais pas d’identité managée affectée par le système. Une identité managée affectée par le système est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol.	modify	4.1.0
App Configuration doit utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à vos instances de configuration d’application plutôt qu’à l’ensemble du service, vous êtes également protégé contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/appconfig/private-endpoint.	AuditIfNotExists, Désactivé	1.0.2
Le débogage à distance doit être désactivé pour les applications App Service	Le débogage distant nécessite que des ports d’entrée soient ouverts sur une application App Service. Le débogage à distance doit être désactivé.	AuditIfNotExists, Désactivé	2.0.0
Auditer les machines Linux qui autorisent les connexions à distance des comptes sans mot de passe	Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Linux ne sont pas conformes si elles autorisent les connexions à distance à partir de comptes sans mot de passe	AuditIfNotExists, Désactivé	3.1.0
API Azure pour FHIR doit utiliser une liaison privée	API Azure pour FHIR doit avoir au moins une connexion de point de terminaison privé approuvée. Les clients d’un réseau virtuel peuvent accéder de façon sécurisée aux ressources qui ont des connexions de point de terminaison privés via des liens privés. Pour plus d’informations, consultez https://aka.ms/fhir-privatelink.	Audit, Désactivé	1.0.0
Azure Cache pour Redis doit utiliser une liaison privée	Les points de terminaison privés vous permettent de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à vos instances Azure Cache pour Redis, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link.	AuditIfNotExists, Désactivé	1.0.0
Le service Recherche cognitive Azure doit utiliser une référence SKU qui prend en charge les liaisons privées	Avec les références SKU prises en charge de Recherche cognitive Azure, Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique à la source ou à la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre service de recherche, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/azure-cognitive-search/inbound-private-endpoints.	Audit, Refuser, Désactivé	1.0.0
Les services Recherche cognitive Azure doivent utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à la Recherche cognitive Azure, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/azure-cognitive-search/inbound-private-endpoints.	Audit, Désactivé	1.0.0
Azure Data Factory doit utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à Azure Data Factory, vous réduisez les risques de fuite de données. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/data-factory/data-factory-private-link.	AuditIfNotExists, Désactivé	1.0.0
Les domaines Azure Event Grid doivent utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En faisant correspondre des points de terminaison privés à votre domaine Event Grid plutôt qu’à l’ensemble du service, vous vous protégez également contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privateendpoints.	Audit, Désactivé	1.0.2
Les rubriques Azure Event Grid doivent utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En faisant correspondre des points de terminaison privés à votre rubrique Event Grid plutôt qu’à l’ensemble du service, vous vous protégez également contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privateendpoints.	Audit, Désactivé	1.0.2
Azure File Sync doit utiliser une liaison privée	La création d’un point de terminaison privé pour la ressource de service de synchronisation de stockage indiquée vous permet d’adresser votre ressource de service de synchronisation de stockage à partir de l’espace d’adressage IP privé du réseau de votre organisation, plutôt que via le point de terminaison public accessible via Internet. La création d’un point de terminaison privé ne désactive pas le point de terminaison public.	AuditIfNotExists, Désactivé	1.0.0
Les coffres de clés Azure doivent utiliser une liaison privée	Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à un coffre de clés, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/akvprivatelink.	[parameters('audit_effect')]	1.2.1
Les espaces de travail Azure Machine Learning doivent utiliser un lien privé	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des espaces de travail Azure Machine Learning, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link.	Audit, Désactivé	1.0.0
Les espaces de noms Azure Service Bus doivent utiliser la liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des espaces de noms Service Bus, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/service-bus-messaging/private-link-service.	AuditIfNotExists, Désactivé	1.0.0
Azure SignalR Service doit utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les points de terminaison privés à votre ressource Azure SignalR Service au lieu du service entier, vous réduisez les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/asrs/privatelink.	Audit, Désactivé	1.0.0
Azure Spring Cloud doit utiliser l’injection de réseau	Les instances Azure Spring Cloud doivent utiliser l’injection de réseau virtuel pour les motifs suivants : 1. Isoler Azure Spring Cloud d’Internet. 2. Permettre à Azure Spring Cloud d’interagir avec des systèmes de centres de données locaux ou des services Azure d’autres réseaux virtuels. 3. Permettre aux clients de contrôler les communications réseau entrantes et sortantes pour Azure Spring Cloud.	Audit, Désactivé, Refus	1.2.0
Les espaces de travail Azure Synapse doivent utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à l’espace de travail Azure Synapse, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links.	Audit, Désactivé	1.0.1
Le service Azure Web PubSub doit utiliser une liaison privée	Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre service Azure Web PubSub, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/awps/privatelink.	Audit, Désactivé	1.0.0
Les services Cognitive Services doivent utiliser une liaison privée	Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les points de terminaison privés à Cognitive Services, vous réduisez le risque de fuite de données. En savoir plus sur les liaisons privées : https://go.microsoft.com/fwlink/?linkid=2129800.	Audit, Désactivé	3.0.0
Les registres de conteneurs doivent utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à vos registres de conteneurs plutôt qu’à l’ensemble du service, vous êtes également protégé contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/acr/private-link.	Audit, Désactivé	1.0.1
Les comptes CosmosDB doivent utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre compte CosmosDB, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints.	Audit, Désactivé	1.0.0
Déployer l’extension Guest Configuration Linux pour activer les affectations Guest Configuration sur les machines virtuelles Linux	Cette stratégie déploie l’extension Guest Configuration Linux sur les machines virtuelles Linux hébergées dans Azure qui sont prises en charge par Guest Configuration. L’extension Guest Configuration pour Linux est un prérequis dans toutes les affectations de Guest Configuration pour Linux. Elle doit être déployée sur les machines avant l’utilisation d’une définition de stratégie Guest Configuration pour Linux. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol.	deployIfNotExists	3.1.0
Les ressources d’accès au disque doivent utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés aux accès disque, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/disksprivatelinksdoc.	AuditIfNotExists, Désactivé	1.0.0
Les espaces de noms Event Hub doivent utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des espaces de noms Event Hub, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/event-hubs/private-link-service.	AuditIfNotExists, Désactivé	1.0.0
Le débogage à distance doit être désactivé pour les applications de fonctions	Le débogage distant nécessite que des ports d’entrée soient ouverts sur les applications de fonction. Le débogage à distance doit être désactivé.	AuditIfNotExists, Désactivé	2.0.0
Les instances de service d’approvisionnement d’appareils IoT Hub doivent utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les points de terminaison privés au service de provisionnement d’appareils IoT Hub, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/iotdpsvnet.	Audit, Désactivé	1.0.0
Surveiller l’accès au sein de l’organisation	CMA_0376 – Surveiller l’accès au sein de l’organisation	Manuel, désactivé	1.1.0
Les connexions des points de terminaison privés sur Azure SQL Database doivent être activées	Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure SQL Database privée.	Audit, Désactivé	1.1.0
Le point de terminaison privé doit être activé pour les serveurs MariaDB	Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure Database for MariaDB privée. Configurez une connexion de point de terminaison privé pour autoriser l’accès uniquement au trafic provenant de réseaux connus et empêcher l’accès à partir de toutes les autres adresses IP, y compris dans Azure.	AuditIfNotExists, Désactivé	1.0.2
Le point de terminaison privé doit être activé pour les serveurs MySQL	Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure Database pour MySQL privée. Configurez une connexion de point de terminaison privé pour autoriser l’accès uniquement au trafic provenant de réseaux connus et empêcher l’accès à partir de toutes les autres adresses IP, y compris dans Azure.	AuditIfNotExists, Désactivé	1.0.2
Le point de terminaison privé doit être activé pour les serveurs PostgreSQL	Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure Database pour PostgreSQL privée. Configurez une connexion de point de terminaison privé pour autoriser l’accès uniquement au trafic provenant de réseaux connus et empêcher l’accès à partir de toutes les autres adresses IP, y compris dans Azure.	AuditIfNotExists, Désactivé	1.0.2
Les comptes de stockage doivent limiter l’accès réseau	L’accès réseau aux comptes de stockage doit être limité. Configurez les règles du réseau de telle manière que seules les applications des réseaux autorisés puissent accéder au compte de stockage. Pour autoriser les connexions de clients Internet ou locaux spécifiques, l’accès au trafic peut être autorisé à partir de réseaux virtuels Azure spécifiques ou vers des plages d’adresses IP Internet publiques.	Audit, Refuser, Désactivé	1.1.1
Les comptes de stockage doivent utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre compte de stockage, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/azureprivatelinkoverview	AuditIfNotExists, Désactivé	2.0.0
Les modèles VM Image Builder doivent utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à vos ressources de création VM Image Builder, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet.	Audit, Désactivé, Refus	1.1.0

Utilisez des mécanismes de chiffrement pour protéger la confidentialité des sessions d'accès à distance.

ID: NIST SP 800-171 R2 3.1.13 Propriété: Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
App Configuration doit utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à vos instances de configuration d’application plutôt qu’à l’ensemble du service, vous êtes également protégé contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/appconfig/private-endpoint.	AuditIfNotExists, Désactivé	1.0.2
API Azure pour FHIR doit utiliser une liaison privée	API Azure pour FHIR doit avoir au moins une connexion de point de terminaison privé approuvée. Les clients d’un réseau virtuel peuvent accéder de façon sécurisée aux ressources qui ont des connexions de point de terminaison privés via des liens privés. Pour plus d’informations, consultez https://aka.ms/fhir-privatelink.	Audit, Désactivé	1.0.0
Azure Cache pour Redis doit utiliser une liaison privée	Les points de terminaison privés vous permettent de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à vos instances Azure Cache pour Redis, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link.	AuditIfNotExists, Désactivé	1.0.0
Le service Recherche cognitive Azure doit utiliser une référence SKU qui prend en charge les liaisons privées	Avec les références SKU prises en charge de Recherche cognitive Azure, Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique à la source ou à la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre service de recherche, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/azure-cognitive-search/inbound-private-endpoints.	Audit, Refuser, Désactivé	1.0.0
Les services Recherche cognitive Azure doivent utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à la Recherche cognitive Azure, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/azure-cognitive-search/inbound-private-endpoints.	Audit, Désactivé	1.0.0
Azure Data Factory doit utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à Azure Data Factory, vous réduisez les risques de fuite de données. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/data-factory/data-factory-private-link.	AuditIfNotExists, Désactivé	1.0.0
Les domaines Azure Event Grid doivent utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En faisant correspondre des points de terminaison privés à votre domaine Event Grid plutôt qu’à l’ensemble du service, vous vous protégez également contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privateendpoints.	Audit, Désactivé	1.0.2
Les rubriques Azure Event Grid doivent utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En faisant correspondre des points de terminaison privés à votre rubrique Event Grid plutôt qu’à l’ensemble du service, vous vous protégez également contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privateendpoints.	Audit, Désactivé	1.0.2
Azure File Sync doit utiliser une liaison privée	La création d’un point de terminaison privé pour la ressource de service de synchronisation de stockage indiquée vous permet d’adresser votre ressource de service de synchronisation de stockage à partir de l’espace d’adressage IP privé du réseau de votre organisation, plutôt que via le point de terminaison public accessible via Internet. La création d’un point de terminaison privé ne désactive pas le point de terminaison public.	AuditIfNotExists, Désactivé	1.0.0
Les coffres de clés Azure doivent utiliser une liaison privée	Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à un coffre de clés, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/akvprivatelink.	[parameters('audit_effect')]	1.2.1
Les espaces de travail Azure Machine Learning doivent utiliser un lien privé	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des espaces de travail Azure Machine Learning, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link.	Audit, Désactivé	1.0.0
Les espaces de noms Azure Service Bus doivent utiliser la liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des espaces de noms Service Bus, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/service-bus-messaging/private-link-service.	AuditIfNotExists, Désactivé	1.0.0
Azure SignalR Service doit utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les points de terminaison privés à votre ressource Azure SignalR Service au lieu du service entier, vous réduisez les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/asrs/privatelink.	Audit, Désactivé	1.0.0
Azure Spring Cloud doit utiliser l’injection de réseau	Les instances Azure Spring Cloud doivent utiliser l’injection de réseau virtuel pour les motifs suivants : 1. Isoler Azure Spring Cloud d’Internet. 2. Permettre à Azure Spring Cloud d’interagir avec des systèmes de centres de données locaux ou des services Azure d’autres réseaux virtuels. 3. Permettre aux clients de contrôler les communications réseau entrantes et sortantes pour Azure Spring Cloud.	Audit, Désactivé, Refus	1.2.0
Les espaces de travail Azure Synapse doivent utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à l’espace de travail Azure Synapse, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links.	Audit, Désactivé	1.0.1
Le service Azure Web PubSub doit utiliser une liaison privée	Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre service Azure Web PubSub, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/awps/privatelink.	Audit, Désactivé	1.0.0
Les services Cognitive Services doivent utiliser une liaison privée	Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les points de terminaison privés à Cognitive Services, vous réduisez le risque de fuite de données. En savoir plus sur les liaisons privées : https://go.microsoft.com/fwlink/?linkid=2129800.	Audit, Désactivé	3.0.0
Les registres de conteneurs doivent utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à vos registres de conteneurs plutôt qu’à l’ensemble du service, vous êtes également protégé contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/acr/private-link.	Audit, Désactivé	1.0.1
Les comptes CosmosDB doivent utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre compte CosmosDB, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints.	Audit, Désactivé	1.0.0
Les ressources d’accès au disque doivent utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés aux accès disque, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/disksprivatelinksdoc.	AuditIfNotExists, Désactivé	1.0.0
Les espaces de noms Event Hub doivent utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des espaces de noms Event Hub, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/event-hubs/private-link-service.	AuditIfNotExists, Désactivé	1.0.0
Les instances de service d’approvisionnement d’appareils IoT Hub doivent utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les points de terminaison privés au service de provisionnement d’appareils IoT Hub, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/iotdpsvnet.	Audit, Désactivé	1.0.0
Avertir les utilisateurs de l’ouverture de session ou de l’accès au système	CMA_0382 - Avertir les utilisateurs de l’ouverture de session ou de l’accès au système	Manuel, désactivé	1.1.0
Les connexions des points de terminaison privés sur Azure SQL Database doivent être activées	Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure SQL Database privée.	Audit, Désactivé	1.1.0
Le point de terminaison privé doit être activé pour les serveurs MariaDB	Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure Database for MariaDB privée. Configurez une connexion de point de terminaison privé pour autoriser l’accès uniquement au trafic provenant de réseaux connus et empêcher l’accès à partir de toutes les autres adresses IP, y compris dans Azure.	AuditIfNotExists, Désactivé	1.0.2
Le point de terminaison privé doit être activé pour les serveurs MySQL	Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure Database pour MySQL privée. Configurez une connexion de point de terminaison privé pour autoriser l’accès uniquement au trafic provenant de réseaux connus et empêcher l’accès à partir de toutes les autres adresses IP, y compris dans Azure.	AuditIfNotExists, Désactivé	1.0.2
Le point de terminaison privé doit être activé pour les serveurs PostgreSQL	Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure Database pour PostgreSQL privée. Configurez une connexion de point de terminaison privé pour autoriser l’accès uniquement au trafic provenant de réseaux connus et empêcher l’accès à partir de toutes les autres adresses IP, y compris dans Azure.	AuditIfNotExists, Désactivé	1.0.2
Protéger les données en transit à l’aide du chiffrement	CMA_0403 – Protéger les données en transit à l’aide du chiffrement	Manuel, désactivé	1.1.0
Les comptes de stockage doivent limiter l’accès réseau	L’accès réseau aux comptes de stockage doit être limité. Configurez les règles du réseau de telle manière que seules les applications des réseaux autorisés puissent accéder au compte de stockage. Pour autoriser les connexions de clients Internet ou locaux spécifiques, l’accès au trafic peut être autorisé à partir de réseaux virtuels Azure spécifiques ou vers des plages d’adresses IP Internet publiques.	Audit, Refuser, Désactivé	1.1.1
Les comptes de stockage doivent utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre compte de stockage, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/azureprivatelinkoverview	AuditIfNotExists, Désactivé	2.0.0
Les modèles VM Image Builder doivent utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à vos ressources de création VM Image Builder, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet.	Audit, Désactivé, Refus	1.1.0

Router l’accès à distance via des points de contrôle d’accès managés.

ID: NIST SP 800-171 R2 3.1.14 Propriété: Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
App Configuration doit utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à vos instances de configuration d’application plutôt qu’à l’ensemble du service, vous êtes également protégé contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/appconfig/private-endpoint.	AuditIfNotExists, Désactivé	1.0.2
API Azure pour FHIR doit utiliser une liaison privée	API Azure pour FHIR doit avoir au moins une connexion de point de terminaison privé approuvée. Les clients d’un réseau virtuel peuvent accéder de façon sécurisée aux ressources qui ont des connexions de point de terminaison privés via des liens privés. Pour plus d’informations, consultez https://aka.ms/fhir-privatelink.	Audit, Désactivé	1.0.0
Azure Cache pour Redis doit utiliser une liaison privée	Les points de terminaison privés vous permettent de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à vos instances Azure Cache pour Redis, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link.	AuditIfNotExists, Désactivé	1.0.0
Le service Recherche cognitive Azure doit utiliser une référence SKU qui prend en charge les liaisons privées	Avec les références SKU prises en charge de Recherche cognitive Azure, Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique à la source ou à la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre service de recherche, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/azure-cognitive-search/inbound-private-endpoints.	Audit, Refuser, Désactivé	1.0.0
Les services Recherche cognitive Azure doivent utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à la Recherche cognitive Azure, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/azure-cognitive-search/inbound-private-endpoints.	Audit, Désactivé	1.0.0
Azure Data Factory doit utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à Azure Data Factory, vous réduisez les risques de fuite de données. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/data-factory/data-factory-private-link.	AuditIfNotExists, Désactivé	1.0.0
Les domaines Azure Event Grid doivent utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En faisant correspondre des points de terminaison privés à votre domaine Event Grid plutôt qu’à l’ensemble du service, vous vous protégez également contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privateendpoints.	Audit, Désactivé	1.0.2
Les rubriques Azure Event Grid doivent utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En faisant correspondre des points de terminaison privés à votre rubrique Event Grid plutôt qu’à l’ensemble du service, vous vous protégez également contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privateendpoints.	Audit, Désactivé	1.0.2
Azure File Sync doit utiliser une liaison privée	La création d’un point de terminaison privé pour la ressource de service de synchronisation de stockage indiquée vous permet d’adresser votre ressource de service de synchronisation de stockage à partir de l’espace d’adressage IP privé du réseau de votre organisation, plutôt que via le point de terminaison public accessible via Internet. La création d’un point de terminaison privé ne désactive pas le point de terminaison public.	AuditIfNotExists, Désactivé	1.0.0
Les coffres de clés Azure doivent utiliser une liaison privée	Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à un coffre de clés, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/akvprivatelink.	[parameters('audit_effect')]	1.2.1
Les espaces de travail Azure Machine Learning doivent utiliser un lien privé	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des espaces de travail Azure Machine Learning, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link.	Audit, Désactivé	1.0.0
Les espaces de noms Azure Service Bus doivent utiliser la liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des espaces de noms Service Bus, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/service-bus-messaging/private-link-service.	AuditIfNotExists, Désactivé	1.0.0
Azure SignalR Service doit utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les points de terminaison privés à votre ressource Azure SignalR Service au lieu du service entier, vous réduisez les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/asrs/privatelink.	Audit, Désactivé	1.0.0
Azure Spring Cloud doit utiliser l’injection de réseau	Les instances Azure Spring Cloud doivent utiliser l’injection de réseau virtuel pour les motifs suivants : 1. Isoler Azure Spring Cloud d’Internet. 2. Permettre à Azure Spring Cloud d’interagir avec des systèmes de centres de données locaux ou des services Azure d’autres réseaux virtuels. 3. Permettre aux clients de contrôler les communications réseau entrantes et sortantes pour Azure Spring Cloud.	Audit, Désactivé, Refus	1.2.0
Les espaces de travail Azure Synapse doivent utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à l’espace de travail Azure Synapse, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links.	Audit, Désactivé	1.0.1
Le service Azure Web PubSub doit utiliser une liaison privée	Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre service Azure Web PubSub, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/awps/privatelink.	Audit, Désactivé	1.0.0
Les services Cognitive Services doivent utiliser une liaison privée	Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les points de terminaison privés à Cognitive Services, vous réduisez le risque de fuite de données. En savoir plus sur les liaisons privées : https://go.microsoft.com/fwlink/?linkid=2129800.	Audit, Désactivé	3.0.0
Les registres de conteneurs doivent utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à vos registres de conteneurs plutôt qu’à l’ensemble du service, vous êtes également protégé contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/acr/private-link.	Audit, Désactivé	1.0.1
Les comptes CosmosDB doivent utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre compte CosmosDB, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints.	Audit, Désactivé	1.0.0
Les ressources d’accès au disque doivent utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés aux accès disque, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/disksprivatelinksdoc.	AuditIfNotExists, Désactivé	1.0.0
Les espaces de noms Event Hub doivent utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des espaces de noms Event Hub, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/event-hubs/private-link-service.	AuditIfNotExists, Désactivé	1.0.0
Les instances de service d’approvisionnement d’appareils IoT Hub doivent utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les points de terminaison privés au service de provisionnement d’appareils IoT Hub, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/iotdpsvnet.	Audit, Désactivé	1.0.0
Les connexions des points de terminaison privés sur Azure SQL Database doivent être activées	Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure SQL Database privée.	Audit, Désactivé	1.1.0
Le point de terminaison privé doit être activé pour les serveurs MariaDB	Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure Database for MariaDB privée. Configurez une connexion de point de terminaison privé pour autoriser l’accès uniquement au trafic provenant de réseaux connus et empêcher l’accès à partir de toutes les autres adresses IP, y compris dans Azure.	AuditIfNotExists, Désactivé	1.0.2
Le point de terminaison privé doit être activé pour les serveurs MySQL	Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure Database pour MySQL privée. Configurez une connexion de point de terminaison privé pour autoriser l’accès uniquement au trafic provenant de réseaux connus et empêcher l’accès à partir de toutes les autres adresses IP, y compris dans Azure.	AuditIfNotExists, Désactivé	1.0.2
Le point de terminaison privé doit être activé pour les serveurs PostgreSQL	Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure Database pour PostgreSQL privée. Configurez une connexion de point de terminaison privé pour autoriser l’accès uniquement au trafic provenant de réseaux connus et empêcher l’accès à partir de toutes les autres adresses IP, y compris dans Azure.	AuditIfNotExists, Désactivé	1.0.2
Router le trafic via des points d’accès réseau gérés	CMA_0484 - Router le trafic via des points d’accès réseau gérés	Manuel, désactivé	1.1.0
Les comptes de stockage doivent limiter l’accès réseau	L’accès réseau aux comptes de stockage doit être limité. Configurez les règles du réseau de telle manière que seules les applications des réseaux autorisés puissent accéder au compte de stockage. Pour autoriser les connexions de clients Internet ou locaux spécifiques, l’accès au trafic peut être autorisé à partir de réseaux virtuels Azure spécifiques ou vers des plages d’adresses IP Internet publiques.	Audit, Refuser, Désactivé	1.1.1
Les comptes de stockage doivent utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre compte de stockage, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/azureprivatelinkoverview	AuditIfNotExists, Désactivé	2.0.0
Les modèles VM Image Builder doivent utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à vos ressources de création VM Image Builder, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet.	Audit, Désactivé, Refus	1.1.0

Autoriser l’exécution à distance des commandes privilégiées et l’accès à distance aux informations relatives à la sécurité.

ID: NIST SP 800-171 R2 3.1.15 Propriété: Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Autoriser l’accès à distance	CMA_0024 – Autoriser l’accès à distance	Manuel, désactivé	1.1.0
Autoriser l’accès à distance aux commandes privilégiées	CMA_C1064 – Autoriser l’accès à distance aux commandes privilégiées	Manuel, désactivé	1.1.0
Documentation des instructions d’accès à distance	CMA_0196 – Documentation des instructions d’accès à distance	Manuel, désactivé	1.1.0
Implémenter des contrôles pour sécuriser d’autres sites de travail	CMA_0315 – Implémenter des contrôles pour sécuriser d’autres sites de travail	Manuel, désactivé	1.1.0
Fournir une formation sur la confidentialité	CMA_0415 – Fournir une formation sur la confidentialité	Manuel, désactivé	1.1.0

Autoriser l'accès sans fil avant d'autoriser ces connexions

ID: NIST SP 800-171 R2 3.1.16 Propriété: Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Documenter et implémenter les instructions d’accès sans fil	CMA_0190 - Documenter et implémenter les instructions d’accès sans fil	Manuel, désactivé	1.1.0
Protéger l’accès sans fil	CMA_0411 - Protéger l’accès sans fil	Manuel, désactivé	1.1.0

Protégez l'accès sans fil à l'aide de l'authentification et du chiffrement.

ID : NIST SP 800-171 R2 3.1.17 Propriété : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Documenter et implémenter les instructions d’accès sans fil	CMA_0190 - Documenter et implémenter les instructions d’accès sans fil	Manuel, désactivé	1.1.0
Identifier et authentifier les périphériques réseau	CMA_0296 – Identifier et authentifier les périphériques réseau	Manuel, désactivé	1.1.0
Protéger l’accès sans fil	CMA_0411 - Protéger l’accès sans fil	Manuel, désactivé	1.1.0

Contrôlez la connexion des appareils mobiles.

ID : NIST SP 800-171 R2 3.1.18 Propriété : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Définir les exigences pour les appareils mobiles	CMA_0122 - Définir les exigences pour les appareils mobiles	Manuel, désactivé	1.1.0

Chiffrez les informations non classifiées contrôlées sur les appareils mobiles et les plateformes informatiques mobiles.

ID : NIST SP 800-171 R2 3.1.19 Propriété : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Définir les exigences pour les appareils mobiles	CMA_0122 - Définir les exigences pour les appareils mobiles	Manuel, désactivé	1.1.0
Protéger les données en transit à l’aide du chiffrement	CMA_0403 – Protéger les données en transit à l’aide du chiffrement	Manuel, désactivé	1.1.0

Limitez l'accès au système aux types de transactions et de fonctions que les utilisateurs autorisés peuvent exécuter.

ID : NIST SP 800-171 R2 3.1.2 Propriété : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Les comptes disposant d’autorisations de propriétaire sur les ressources Azure doivent être compatibles avec l’authentification multifacteur	MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant d'autorisations de propriétaire afin d'éviter une violation des comptes ou des ressources.	AuditIfNotExists, Désactivé	1.0.0
Les comptes disposant d’autorisations en lecture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur	MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en lecture afin d'éviter une violation des comptes ou des ressources.	AuditIfNotExists, Désactivé	1.0.0
Les comptes disposant d’autorisations en écriture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur	MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en écriture pour éviter une violation des comptes ou des ressources.	AuditIfNotExists, Désactivé	1.0.0
Un administrateur Azure Active Directory doit être approvisionné pour les serveurs SQL	Auditer l’approvisionnement d’un administrateur Azure Active Directory pour votre serveur SQL afin d’activer l’authentification Azure AD. L’authentification Azure AD permet une gestion simplifiée des autorisations et une gestion centralisée des utilisateurs de bases de données et d’autres services Microsoft	AuditIfNotExists, Désactivé	1.0.0
Le débogage à distance doit être désactivé pour les applications App Service	Le débogage distant nécessite que des ports d’entrée soient ouverts sur une application App Service. Le débogage à distance doit être désactivé.	AuditIfNotExists, Désactivé	2.0.0
Les applications App Service doivent utiliser une identité managée	Utiliser une identité managée pour renforcer la sécurité de l’authentification	AuditIfNotExists, Désactivé	3.0.0
Auditer les fonctions privilégiées	CMA_0019 – Auditer les fonctions privilégiées	Manuel, désactivé	1.1.0
Auditer l’utilisation des rôles RBAC personnalisés	Auditer des rôles intégrés tels que « Propriétaire, contributeur, lecteur » au lieu des rôles RBAC personnalisés, qui sont susceptibles d’engendrer des erreurs. L’utilisation de rôles personnalisés est traitée comme une exception et nécessite un contrôle rigoureux et la modélisation des menaces	Audit, Désactivé	1.0.1
Autoriser l’accès aux fonctions et informations de sécurité	CMA_0022 – Autoriser l’accès aux fonctions et informations de sécurité	Manuel, désactivé	1.1.0
Autoriser et gérer l’accès	CMA_0023 – Autoriser et gérer l’accès	Manuel, désactivé	1.1.0
Autoriser l’accès à distance	CMA_0024 – Autoriser l’accès à distance	Manuel, désactivé	1.1.0
Les ressources Azure AI Services doivent avoir l’accès par clé désactivé (désactiver l’authentification locale)	Pour des raisons de sécurité, il est recommandé de désactiver l’accès à la clé (authentification locale). Azure OpenAI Studio, généralement utilisé dans le développement/test, nécessite un accès à la clé et ne fonctionnera pas si l’accès à la clé est désactivé. Après la désactivation, Microsoft Entra ID devient la seule méthode d’accès, qui permet de conserver le principe de privilège minimal et le contrôle granulaire. Plus d’informations sur : https://aka.ms/AI/auth	Audit, Refuser, Désactivé	1.1.0
Les comptes bloqués disposant d’autorisations de propriétaire sur les ressources Azure doivent être supprimés	Les comptes déconseillés disposant d’autorisations de type propriétaire doivent être supprimés de votre abonnement. Les comptes déconseillés sont des comptes qui ont été empêchés de se connecter.	AuditIfNotExists, Désactivé	1.0.0
Les comptes bloqués disposant d’autorisations en lecture et en écriture sur les ressources Azure doivent être supprimés	Les comptes déconseillés doivent être supprimés de vos abonnements. Les comptes déconseillés sont des comptes qui ont été empêchés de se connecter.	AuditIfNotExists, Désactivé	1.0.0
Appliquer l’utilisation appropriée de tous les comptes	CMA_C1023 – Appliquer l’utilisation appropriée de tous les comptes	Manuel, désactivé	1.1.0
Appliquer l’accès logique	CMA_0245 – Appliquer l’accès logique	Manuel, désactivé	1.1.0
Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires	CMA_0246 – Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires	Manuel, désactivé	1.1.0
Le débogage à distance doit être désactivé pour les applications de fonctions	Le débogage distant nécessite que des ports d’entrée soient ouverts sur les applications de fonction. Le débogage à distance doit être désactivé.	AuditIfNotExists, Désactivé	2.0.0
Les applications de fonction doivent utiliser une identité managée	Utiliser une identité managée pour renforcer la sécurité de l’authentification	AuditIfNotExists, Désactivé	3.0.0
Les comptes invités disposant d’autorisations de propriétaire sur les ressources Azure doivent être supprimés	Les comptes externes avec des autorisations de type propriétaire doivent être supprimés de votre abonnement pour empêcher un accès non contrôlé.	AuditIfNotExists, Désactivé	1.0.0
Les comptes invités disposant d’autorisations en lecture sur les ressources Azure doivent être supprimés	Les comptes externes avec des privilèges d'accès en lecture doivent être supprimés de votre abonnement afin d'empêcher un accès non contrôlé.	AuditIfNotExists, Désactivé	1.0.0
Les comptes invités disposant d’autorisations en écriture sur les ressources Azure doivent être supprimés	Les comptes externes avec des privilèges d'accès en écriture doivent être supprimés de votre abonnement afin d'empêcher un accès non contrôlé.	AuditIfNotExists, Désactivé	1.0.0
Surveiller l’attribution de rôle privilégié	CMA_0378 – Surveiller l’attribution de rôle privilégié	Manuel, désactivé	1.1.0
Exiger une approbation pour la création de compte	CMA_0431 – Exiger une approbation pour la création de compte	Manuel, désactivé	1.1.0
Restreindre l’accès aux comptes privilégiés	CMA_0446 – Restreindre l’accès aux comptes privilégiés	Manuel, désactivé	1.1.0
Examiner les groupes d’utilisateurs et les applications ayant accès à des données sensibles	CMA_0481 – Examiner les groupes d’utilisateurs et les applications ayant accès à des données sensibles	Manuel, désactivé	1.1.0
Révoquer les rôles privilégiés selon les besoins	CMA_0483 – Révoquer les rôles privilégiés selon les besoins	Manuel, désactivé	1.1.0
Les clusters Service Fabric ne doivent utiliser Azure Active Directory que pour l’authentification client	Auditer l'utilisation de l'authentification client uniquement par le biais d'Azure Active Directory dans Service Fabric	Audit, Refuser, Désactivé	1.1.0
Les comptes de stockage doivent être migrés vers de nouvelles ressources Azure Resource Manager	Profitez des nouveautés d’Azure Resource Manager pour renforcer la sécurité de vos comptes de stockage : contrôle d’accès plus puissant, audit amélioré, déploiement et gouvernance basés sur Azure Resource Manager, accès aux identités managées, accès au coffre de clés pour les secrets, authentification basée sur Azure AD, prise en charge des étiquettes et des groupes de ressources pour faciliter la gestion de la sécurité, etc.	Audit, Refuser, Désactivé	1.0.0
Utiliser Privileged Identity Management	CMA_0533 – Utiliser la gestion des identités privilégiées	Manuel, désactivé	1.1.0
Les machines virtuelles doivent être migrées vers de nouvelles ressources Azure Resource Manager	Utilisez le nouvel Azure Resource Manager pour renforcer la sécurité de vos machines virtuelles : contrôle d’accès en fonction du rôle (RBAC) renforcé, audit amélioré, déploiement et gouvernance basés sur Azure Resource Manager, accès aux identités managées, accès au coffre de clés pour les secrets, authentification basée sur Azure AD, et prise en charge des étiquettes et des groupes de ressources pour faciliter la gestion de la sécurité.	Audit, Refuser, Désactivé	1.0.0

Vérifiez et contrôlez/limitez les connexions aux systèmes et utilisez-les.

ID : NIST SP 800-171 R2 3.1.20 Propriété : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Établir les conditions générales d’accès aux ressources	CMA_C1076 - Établir les conditions générales d’accès aux ressources	Manuel, désactivé	1.1.0
Établir les conditions générales pour le traitement des ressources	CMA_C1077 - Établir les conditions générales pour le traitement des ressources	Manuel, désactivé	1.1.0

Limitez l'utilisation d'appareils de stockage portables sur des systèmes externes.

ID : NIST SP 800-171 R2 3.1.21 Propriété : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Bloque les processus non approuvés et non signés qui s’exécutent par USB	CMA_0050 – Bloquer les processus non signés et non approuvés qui s'exécutent à partir d'un lecteur USB	Manuel, désactivé	1.1.0
Contrôler l’utilisation des périphériques de stockage portables	CMA_0083 - Contrôler l’utilisation des périphériques de stockage portables	Manuel, désactivé	1.1.0
Implémenter des contrôles pour sécuriser tous les supports	CMA_0314 – Implémenter des contrôles pour sécuriser tous les supports	Manuel, désactivé	1.1.0

Contrôlez les informations non classifiées contrôlées publiées ou traitées sur des systèmes accessibles publiquement.

ID : NIST SP 800-171 R2 3.1.22 Propriété : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Désigner le personnel autorisé à publier des informations accessibles publiquement	CMA_C1083 - Désigner le personnel autorisé à publier des informations accessibles publiquement	Manuel, désactivé	1.1.0
Passer en revue le contenu avant de publier des informations accessibles publiquement	CMA_C1085 – Vérifier le contenu avant de publier des informations accessibles publiquement	Manuel, désactivé	1.1.0
Examiner le contenu accessible publiquement pour obtenir des informations non publiques	CMA_C1086 – Vérifier le contenu accessible publiquement pour obtenir des informations non publiques	Manuel, désactivé	1.1.0
Former le personnel à la divulgation d’informations non publiques	CMA_C1084 - Former le personnel à la divulgation d’informations non publiques	Manuel, désactivé	1.1.0

Contrôler le flux de CUI conformément aux autorisations approuvées.

ID : NIST SP 800-171 R2 3.1.3 Propriété : Partagé

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
[Préversion] : L’ensemble du trafic Internet doit transiter par votre Pare-feu Azure déployé	Azure Security Center a détecté que certains de vos sous-réseaux ne sont pas protégés par un pare-feu de nouvelle génération. Protégez vos sous-réseaux contre les menaces potentielles en limitant leur accès avec le pare-feu Azure ou un pare-feu de nouvelle génération pris en charge	AuditIfNotExists, Désactivé	3.0.0-preview
[Préversion] : L’accès public au compte de stockage doit être interdit	L’accès en lecture public anonyme aux conteneurs et aux blobs dans Stockage Azure est un moyen pratique de partager des données, mais peut présenter des risques pour la sécurité. Pour éviter les violations de données provoquées par un accès anonyme non souhaité, Microsoft recommande d’empêcher l’accès public à un compte de stockage, sauf si votre scénario l’exige.	audit, Audit, refus, Refus, désactivé, Désactivé	3.1.0-preview
Les recommandations de renforcement de réseau adaptatif doivent être appliquées sur les machines virtuelles accessibles à partir d’Internet	Azure Security Center analyse les tendances du trafic des machines virtuelles accessibles sur Internet et fournit des recommandations sur les règles de groupe de sécurité réseau à utiliser pour réduire la surface d’attaque potentielle	AuditIfNotExists, Désactivé	3.0.0
Tous les ports réseau doivent être restreints sur les groupes de sécurité réseau associés à votre machine virtuelle	Azure Security Center a identifié qu’une partie des règles de trafic entrant de vos groupes de sécurité réseau est trop permissive. Les règles de trafic entrant ne doivent pas autoriser l’accès à partir des plages « Tout » ou « Internet ». Cela peut permettre aux attaquants de cibler vos ressources.	AuditIfNotExists, Désactivé	3.0.0
Les services Gestion des API doivent utiliser un réseau virtuel	Le déploiement d’un réseau virtuel Azure offre une sécurité renforcée et une isolation, et vous permet de placer votre service Gestion des API dans un réseau routable non-Internet auquel vous contrôlez l’accès. Ces réseaux peuvent ensuite être connectés à vos réseaux locaux à l’aide de différentes technologies VPN, ce qui permet d’accéder à vos services back-end au sein du réseau et/ou localement. Le portail des développeurs et la passerelle API peuvent être configurés pour être accessibles depuis Internet ou uniquement au sein du réseau virtuel.	Audit, Refuser, Désactivé	1.0.2
App Configuration doit utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à vos instances de configuration d’application plutôt qu’à l’ensemble du service, vous êtes également protégé contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/appconfig/private-endpoint.	AuditIfNotExists, Désactivé	1.0.2
Les applications App Service ne doivent pas avoir de CORS configuré pour permettre à toutes les ressources d'accéder à vos applications	Le partage des ressources cross-origin (CORS) ne doit pas autoriser tous les domaines à accéder à votre application. Autorisez uniquement les domaines requis à interagir avec votre application.	AuditIfNotExists, Désactivé	2.0.0
Des plages d’adresses IP autorisées doivent être définies sur les services Kubernetes	Limitez l’accès à l’API Gestion des services Kubernetes en n’accordant l’accès à l’API qu’à des adresses IP de plages spécifiques. Nous vous recommandons de limiter l’accès aux plages d’adresses IP autorisées afin d’être sûr que seules les applications des réseaux autorisés puissent accéder au cluster.	Audit, Désactivé	2.0.1
Les ressources Azure AI Services doivent limiter l’accès réseau	En limitant l’accès réseau, vous pouvez vous assurer que seuls les réseaux autorisés peuvent accéder au service. Pour ce faire, configurez des règles réseau afin que seules les applications provenant de réseaux autorisés puissent accéder au service Azure AI.	Audit, Refuser, Désactivé	3.2.0
API Azure pour FHIR doit utiliser une liaison privée	API Azure pour FHIR doit avoir au moins une connexion de point de terminaison privé approuvée. Les clients d’un réseau virtuel peuvent accéder de façon sécurisée aux ressources qui ont des connexions de point de terminaison privés via des liens privés. Pour plus d’informations, consultez https://aka.ms/fhir-privatelink.	Audit, Désactivé	1.0.0
Azure Cache pour Redis doit utiliser une liaison privée	Les points de terminaison privés vous permettent de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à vos instances Azure Cache pour Redis, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link.	AuditIfNotExists, Désactivé	1.0.0
Le service Recherche cognitive Azure doit utiliser une référence SKU qui prend en charge les liaisons privées	Avec les références SKU prises en charge de Recherche cognitive Azure, Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique à la source ou à la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre service de recherche, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/azure-cognitive-search/inbound-private-endpoints.	Audit, Refuser, Désactivé	1.0.0
Les services Recherche cognitive Azure doivent désactiver l’accès réseau public	La désactivation de l’accès au réseau public améliore la sécurité en s’assurant que votre service Recherche cognitive Azure n’est pas exposé sur l’Internet public. La création de points de terminaison privés peut limiter l’exposition de votre service de recherche. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/azure-cognitive-search/inbound-private-endpoints.	Audit, Refuser, Désactivé	1.0.0
Les services Recherche cognitive Azure doivent utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à la Recherche cognitive Azure, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/azure-cognitive-search/inbound-private-endpoints.	Audit, Désactivé	1.0.0
Les comptes Azure Cosmos DB doivent avoir des règles de pare-feu	Les règles de pare-feu doivent être définies dans vos comptes Azure Cosmos DB pour empêcher le trafic provenant de sources non autorisées. Les comptes qui possèdent au moins une règle IP définie avec le filtre de réseau virtuel activé sont considérés comme conformes. Les comptes qui désactivent l’accès public sont également jugés conformes.	Audit, Refuser, Désactivé	2.0.0
Azure Data Factory doit utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à Azure Data Factory, vous réduisez les risques de fuite de données. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/data-factory/data-factory-private-link.	AuditIfNotExists, Désactivé	1.0.0
Les domaines Azure Event Grid doivent utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En faisant correspondre des points de terminaison privés à votre domaine Event Grid plutôt qu’à l’ensemble du service, vous vous protégez également contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privateendpoints.	Audit, Désactivé	1.0.2
Les rubriques Azure Event Grid doivent utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En faisant correspondre des points de terminaison privés à votre rubrique Event Grid plutôt qu’à l’ensemble du service, vous vous protégez également contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privateendpoints.	Audit, Désactivé	1.0.2
Azure File Sync doit utiliser une liaison privée	La création d’un point de terminaison privé pour la ressource de service de synchronisation de stockage indiquée vous permet d’adresser votre ressource de service de synchronisation de stockage à partir de l’espace d’adressage IP privé du réseau de votre organisation, plutôt que via le point de terminaison public accessible via Internet. La création d’un point de terminaison privé ne désactive pas le point de terminaison public.	AuditIfNotExists, Désactivé	1.0.0
Le pare-feu doit être activé pour Azure Key Vault	Activez le pare-feu du coffre de clés pour que le coffre de clés ne soit pas accessible par défaut aux adresses IP publiques. Vous pouvez éventuellement configurer des plages d’adresses IP spécifiques pour limiter l’accès à ces réseaux. Plus d’informations sur : https://docs.microsoft.com/azure/key-vault/general/network-security	Audit, Refuser, Désactivé	3.2.1
Les coffres de clés Azure doivent utiliser une liaison privée	Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à un coffre de clés, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/akvprivatelink.	[parameters('audit_effect')]	1.2.1
Les espaces de travail Azure Machine Learning doivent utiliser un lien privé	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des espaces de travail Azure Machine Learning, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link.	Audit, Désactivé	1.0.0
Les espaces de noms Azure Service Bus doivent utiliser la liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des espaces de noms Service Bus, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/service-bus-messaging/private-link-service.	AuditIfNotExists, Désactivé	1.0.0
Azure SignalR Service doit utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les points de terminaison privés à votre ressource Azure SignalR Service au lieu du service entier, vous réduisez les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/asrs/privatelink.	Audit, Désactivé	1.0.0
Les espaces de travail Azure Synapse doivent utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à l’espace de travail Azure Synapse, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links.	Audit, Désactivé	1.0.1
Le service Azure Web PubSub doit utiliser une liaison privée	Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre service Azure Web PubSub, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/awps/privatelink.	Audit, Désactivé	1.0.0
Les comptes Cognitive Services doivent désactiver l’accès au réseau public	Pour améliorer la sécurité des comptes Cognitive Services, vérifiez qu’elle n’est pas exposée à l’Internet public et qu’elle est accessible seulement à partir d’un point de terminaison privé. Désactivez la propriété d’accès réseau public, comme décrit dans https://go.microsoft.com/fwlink/?linkid=2129800. Cette option désactive l’accès à partir de tout espace d’adressage public situé en dehors de la plage d’adresses IP Azure, et refuse toutes les connexions qui correspondent aux règles de pare-feu basées sur des adresses IP ou un réseau virtuel. Cette configuration réduit les risques de fuite de données.	Audit, Refuser, Désactivé	3.0.1
Les services Cognitive Services doivent utiliser une liaison privée	Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les points de terminaison privés à Cognitive Services, vous réduisez le risque de fuite de données. En savoir plus sur les liaisons privées : https://go.microsoft.com/fwlink/?linkid=2129800.	Audit, Désactivé	3.0.0
Les registres de conteneurs ne doivent pas autoriser un accès réseau non restreint	Par défaut, les registres de conteneurs Azure acceptent les connexions via Internet à partir d’hôtes situés sur n’importe quel réseau. Pour protéger vos registres des menaces potentielles, autorisez l’accès uniquement à partir de points de terminaison privés, d’adresses ou de plages d’adresses IP publiques spécifiques. Si aucune règle réseau n’est configurée pour votre registre, celui-ci apparaît dans les ressources non saines. Découvrez plus en détail les règles réseau de Container Registry ici : https://aka.ms/acr/privatelink,https://aka.ms/acr/portal/public-network et https://aka.ms/acr/vnet.	Audit, Refuser, Désactivé	2.0.0
Les registres de conteneurs doivent utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à vos registres de conteneurs plutôt qu’à l’ensemble du service, vous êtes également protégé contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/acr/private-link.	Audit, Désactivé	1.0.1
Flux d’informations de contrôle	CMA_0079 – Flux d’informations de contrôle	Manuel, désactivé	1.1.0
Les comptes CosmosDB doivent utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre compte CosmosDB, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints.	Audit, Désactivé	1.0.0
Les ressources d’accès au disque doivent utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés aux accès disque, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/disksprivatelinksdoc.	AuditIfNotExists, Désactivé	1.0.0
Utiliser des mécanismes de contrôle de flux d’informations chiffrées	CMA_0211 – Utiliser des mécanismes de contrôle de flux d’informations chiffrées	Manuel, désactivé	1.1.0
Établir des normes de configuration de pare-feu et de routeur	CMA_0272 – Établir des normes de configuration de pare-feu et de routeur	Manuel, désactivé	1.1.0
Établir une segmentation réseau pour l’environnement de données du titulaire de carte	CMA_0273 – Établir une segmentation réseau pour l’environnement de données du titulaire de carte	Manuel, désactivé	1.1.0
Les espaces de noms Event Hub doivent utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des espaces de noms Event Hub, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/event-hubs/private-link-service.	AuditIfNotExists, Désactivé	1.0.0
Identifier et gérer les échanges d’informations en aval	CMA_0298 – Identifier et gérer les échanges d’informations en aval	Manuel, désactivé	1.1.0
Contrôle des flux d’informations en utilisant des filtres de stratégie de sécurité	CMA_C1029 - Contrôle des flux d’informations en utilisant des filtres de stratégie de sécurité	Manuel, désactivé	1.1.0
Les machines virtuelles accessibles à partir d’Internet doivent être protégées avec des groupes de sécurité réseau	Protégez vos machines virtuelles contre les menaces potentielles en limitant leur accès avec des groupes de sécurité réseau (NSG). Pour en savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau, consultez https://aka.ms/nsg-doc.	AuditIfNotExists, Désactivé	3.0.0
Les instances de service d’approvisionnement d’appareils IoT Hub doivent utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les points de terminaison privés au service de provisionnement d’appareils IoT Hub, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/iotdpsvnet.	Audit, Désactivé	1.0.0
Le transfert IP doit être désactivé sur votre machine virtuelle	L’activation du transfert IP sur la carte réseau d’une machine virtuelle permet à cette dernière de recevoir du trafic adressé à d’autres destinations. Le transfert IP n'est que rarement nécessaire (par exemple, lors de l'utilisation de la machine virtuelle en tant qu'appliance virtuelle de réseau). Par conséquent, un examen par l'équipe de sécurité réseau est requis.	AuditIfNotExists, Désactivé	3.0.0
Les ports de gestion des machines virtuelles doivent être protégés par un contrôle d’accès réseau juste-à-temps	L’éventuel accès juste-à-temps (JIT) au réseau sera supervisé par Azure Security Center en tant que recommandation	AuditIfNotExists, Désactivé	3.0.0
Les ports de gestion doivent être fermés sur vos machines virtuelles	Les ports de gestion à distance ouverts exposent votre machine virtuelle à un niveau de risque élevé des attaques basées sur Internet. Ces attaques tentent d’attaquer par force brute les informations d’identification afin d’obtenir un accès administrateur à l’ordinateur.	AuditIfNotExists, Désactivé	3.0.0
Les machines virtuelles non connectées à Internet doivent être protégées avec des groupes de sécurité réseau	Protégez vos machines virtuelles non connectées à Internet contre les menaces potentielles en limitant l’accès avec des groupes de sécurité réseau (NSG). Pour en savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau, consultez https://aka.ms/nsg-doc.	AuditIfNotExists, Désactivé	3.0.0
Les connexions des points de terminaison privés sur Azure SQL Database doivent être activées	Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure SQL Database privée.	Audit, Désactivé	1.1.0
Le point de terminaison privé doit être activé pour les serveurs MariaDB	Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure Database for MariaDB privée. Configurez une connexion de point de terminaison privé pour autoriser l’accès uniquement au trafic provenant de réseaux connus et empêcher l’accès à partir de toutes les autres adresses IP, y compris dans Azure.	AuditIfNotExists, Désactivé	1.0.2
Le point de terminaison privé doit être activé pour les serveurs MySQL	Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure Database pour MySQL privée. Configurez une connexion de point de terminaison privé pour autoriser l’accès uniquement au trafic provenant de réseaux connus et empêcher l’accès à partir de toutes les autres adresses IP, y compris dans Azure.	AuditIfNotExists, Désactivé	1.0.2
Le point de terminaison privé doit être activé pour les serveurs PostgreSQL	Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure Database pour PostgreSQL privée. Configurez une connexion de point de terminaison privé pour autoriser l’accès uniquement au trafic provenant de réseaux connus et empêcher l’accès à partir de toutes les autres adresses IP, y compris dans Azure.	AuditIfNotExists, Désactivé	1.0.2
L’accès au réseau public sur Azure SQL Database doit être désactivé	Le fait de désactiver la propriété d’accès au réseau public permet d’améliorer la sécurité puisque votre base de données Azure SQL n’est accessible qu’à partir d’un point de terminaison privé. Cette configuration interdit toutes les connexions visées par des règles de pare-feu basées sur l’adresse IP ou le réseau virtuel.	Audit, Refuser, Désactivé	1.1.0
L’accès au réseau public doit être désactivé pour les serveurs MariaDB	Désactivez la propriété d’accès au réseau public pour améliorer la sécurité et vous assurer que votre compte Azure Database for MariaDB n’est accessible qu’à partir d’un point de terminaison privé. Cette configuration désactive strictement l’accès à partir de tout espace d’adressage public en dehors de la plage d’adresses IP Azure, et refuse toutes les connexions visées par des règles de pare-feu basées sur l’adresse IP ou le réseau virtuel.	Audit, Refuser, Désactivé	2.0.0
L’accès au réseau public doit être désactivé pour les serveurs MySQL	Désactivez la propriété d’accès au réseau public pour améliorer la sécurité et vous assurer que votre compte Azure Database pour MySQL n’est accessible qu’à partir d’un point de terminaison privé. Cette configuration désactive strictement l’accès à partir de tout espace d’adressage public en dehors de la plage d’adresses IP Azure, et refuse toutes les connexions visées par des règles de pare-feu basées sur l’adresse IP ou le réseau virtuel.	Audit, Refuser, Désactivé	2.0.0
L’accès au réseau public doit être désactivé pour les serveurs PostgreSQL	Désactivez la propriété d’accès au réseau public pour améliorer la sécurité et vous assurer que votre compte Azure Database pour PostgreSQL n’est accessible qu’à partir d’un point de terminaison privé. Cette configuration désactive l’accès à partir de tout espace d’adressage public en dehors de la plage d’adresses IP Azure, et refuse toutes les connexions visées par des règles de pare-feu basées sur l’adresse IP ou le réseau virtuel.	Audit, Refuser, Désactivé	2.0.1
Les comptes de stockage doivent limiter l’accès réseau	L’accès réseau aux comptes de stockage doit être limité. Configurez les règles du réseau de telle manière que seules les applications des réseaux autorisés puissent accéder au compte de stockage. Pour autoriser les connexions de clients Internet ou locaux spécifiques, l’accès au trafic peut être autorisé à partir de réseaux virtuels Azure spécifiques ou vers des plages d’adresses IP Internet publiques.	Audit, Refuser, Désactivé	1.1.1
Les comptes de stockage doivent utiliser des règles de réseau virtuel pour restreindre l’accès au réseau	Protégez vos comptes de stockage contre les menaces potentielles en utilisant des règles de réseau virtuel comme méthode préférée au lieu du filtrage basé sur IP. La désactivation du filtrage basé sur IP empêche les IP publiques d’accéder à vos comptes de stockage.	Audit, Refuser, Désactivé	1.0.1
Les comptes de stockage doivent utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre compte de stockage, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/azureprivatelinkoverview	AuditIfNotExists, Désactivé	2.0.0
les sous-réseaux doivent être associés à un groupe de sécurité réseau	Protégez votre sous-réseau contre les menaces potentielles en y limitant l’accès avec un groupe de sécurité réseau (NSG). Les NSG contiennent une liste de règles de liste de contrôle d’accès (ACL) qui autorisent ou refusent le trafic réseau vers votre sous-réseau.	AuditIfNotExists, Désactivé	3.0.0
Les modèles VM Image Builder doivent utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à vos ressources de création VM Image Builder, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet.	Audit, Désactivé, Refus	1.1.0

Séparer les tâches des individus pour réduire le risque d’activité malveillante sans collusion.

ID : NIST SP 800-171 R2 3.1.4 Propriété : Partagé

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Auditer les machines Windows qui ont un ou plusieurs membres spécifiés manquants dans le groupe Administrateurs	Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si le groupe Administrateurs local ne contient pas un ou plusieurs membres listés dans le paramètre de stratégie.	auditIfNotExists	2.0.0
Auditer les machines Windows qui ont les membres spécifiés dans le groupe Administrateurs	Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si le groupe Administrateurs local contient un ou plusieurs des membres listés dans le paramètre de stratégie.	auditIfNotExists	2.0.0
Définir des autorisations d’accès pour prendre en charge la séparation des tâches	CMA_0116 - Définir des autorisations d’accès pour prendre en charge la séparation des tâches	Manuel, désactivé	1.1.0
Documenter la séparation des tâches	CMA_0204 - Documenter la séparation des tâches	Manuel, désactivé	1.1.0
Séparer les tâches des personnes	CMA_0492 - Séparer les tâches des personnes	Manuel, désactivé	1.1.0
Plusieurs propriétaires doivent être attribués à votre abonnement	Il est recommandé de désigner plusieurs propriétaires d'abonnement pour disposer de la redondance de l'accès administrateur.	AuditIfNotExists, Désactivé	3.0.0

Utiliser le principe des privilèges minimum, y compris pour des fonctions de sécurité et des comptes privilégiés spécifiques.

ID : NIST SP 800-171 R2 3.1.5 Propriété : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
3 propriétaires maximum doivent être désignés pour votre abonnement	Il est recommandé de désigner jusqu'à 3 propriétaires d'abonnement pour réduire le risque de violation par un propriétaire compromis.	AuditIfNotExists, Désactivé	3.0.0
Auditer l’utilisation des rôles RBAC personnalisés	Auditer des rôles intégrés tels que « Propriétaire, contributeur, lecteur » au lieu des rôles RBAC personnalisés, qui sont susceptibles d’engendrer des erreurs. L’utilisation de rôles personnalisés est traitée comme une exception et nécessite un contrôle rigoureux et la modélisation des menaces	Audit, Désactivé	1.0.1
Autoriser l’accès aux fonctions et informations de sécurité	CMA_0022 – Autoriser l’accès aux fonctions et informations de sécurité	Manuel, désactivé	1.1.0
Autoriser et gérer l’accès	CMA_0023 – Autoriser et gérer l’accès	Manuel, désactivé	1.1.0
Concevoir un modèle de contrôle d’accès	CMA_0129 – Concevoir un modèle de contrôle d’accès	Manuel, désactivé	1.1.0
Utiliser l’accès aux privilèges minimum	CMA_0212 – Utiliser l’accès aux privilèges minimum	Manuel, désactivé	1.1.0
Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires	CMA_0246 – Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires	Manuel, désactivé	1.1.0
Restreindre l’accès aux comptes privilégiés	CMA_0446 – Restreindre l’accès aux comptes privilégiés	Manuel, désactivé	1.1.0

Empêcher les utilisateurs non privilégiés d’exécuter des fonctions privilégiées et de capturer l’exécution de ces fonctions dans les journaux d’audit.

ID : NIST SP 800-171 R2 3.1.7 Propriété : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Auditer les fonctions privilégiées	CMA_0019 – Auditer les fonctions privilégiées	Manuel, désactivé	1.1.0
Effectuer une analyse de texte intégral des commandes privilégiées journalisées	CMA_0056 - Effectuer une analyse de texte intégral des commandes privilégiées journalisées	Manuel, désactivé	1.1.0
Surveiller l’attribution de rôle privilégié	CMA_0378 – Surveiller l’attribution de rôle privilégié	Manuel, désactivé	1.1.0
Restreindre l’accès aux comptes privilégiés	CMA_0446 – Restreindre l’accès aux comptes privilégiés	Manuel, désactivé	1.1.0
Révoquer les rôles privilégiés selon les besoins	CMA_0483 – Révoquer les rôles privilégiés selon les besoins	Manuel, désactivé	1.1.0
Utiliser Privileged Identity Management	CMA_0533 – Utiliser la gestion des identités privilégiées	Manuel, désactivé	1.1.0

Limitez les tentatives d'ouverture de session ayant échouées.

ID : NIST SP 800-171 R2 3.1.8 Propriété : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Appliquer une limite du nombre de tentatives de connexion consécutives ayant échoué	CMA_C1044 - Appliquer une limite du nombre de tentatives de connexion consécutives ayant échoué	Manuel, désactivé	1.1.0

Protection physique

Limitez l'accès physique aux systèmes d'organisation, à l'équipement et aux environnements d'exploitation respectifs aux personnes autorisées.

ID : NIST SP 800-171 R2 3.10.1 Propriété : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Contrôler l’accès physique	CMA_0081 – Contrôler l’accès physique	Manuel, désactivé	1.1.0

Protégez, puis surveillez l'infrastructure physique et le support pour les systèmes d'organisation.

ID : NIST SP 800-171 R2 3.10.2 Propriété : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Installer un système d’alarme	CMA_0338 - Installer un système d’alarme	Manuel, désactivé	1.1.0
Gérer un système de caméras de surveillance sécurisé	CMA_0354 - Gérer un système de caméras de surveillance sécurisé	Manuel, désactivé	1.1.0

Escortez les visiteurs, puis surveillez leurs activités.

ID : NIST SP 800-171 R2 3.10.3 Propriété : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Contrôler l’accès physique	CMA_0081 – Contrôler l’accès physique	Manuel, désactivé	1.1.0
Implémenter la sécurité physique pour les bureaux, les zones de travail et les zones sécurisées	CMA_0323 - Implémenter la sécurité physique pour les bureaux, les zones de travail et les zones sécurisées	Manuel, désactivé	1.1.0

Gérez les journaux d'audit à accès physique.

ID : NIST SP 800-171 R2 3.10.4 Propriété : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Contrôler l’accès physique	CMA_0081 – Contrôler l’accès physique	Manuel, désactivé	1.1.0

Contrôlez, puis gérez les appareils d'accès physique.

ID : NIST SP 800-171 R2 3.10.5 Propriété : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Contrôler l’accès physique	CMA_0081 – Contrôler l’accès physique	Manuel, désactivé	1.1.0
Définir un processus de gestion des clés physiques	CMA_0115 – Définir un processus de gestion des clés physiques	Manuel, désactivé	1.1.0
Établir et tenir à jour un inventaire des ressources	CMA_0266 - Établir et tenir à jour un inventaire des ressources	Manuel, désactivé	1.1.0
Implémenter la sécurité physique pour les bureaux, les zones de travail et les zones sécurisées	CMA_0323 - Implémenter la sécurité physique pour les bureaux, les zones de travail et les zones sécurisées	Manuel, désactivé	1.1.0

Appliquez des mesures de protection pour les informations non classifiées contrôlées sur d'autres sites de travail.

ID : NIST SP 800-171 R2 3.10.6 Propriété : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Implémenter des contrôles pour sécuriser d’autres sites de travail	CMA_0315 – Implémenter des contrôles pour sécuriser d’autres sites de travail	Manuel, désactivé	1.1.0

Évaluation des risques

Évaluez régulièrement les risques pour les opérations de l'organisation, les ressources de l'organisation et les individus, résultant de l'exploitation des systèmes d'entreprise et du traitement, du stockage ou de la transmission associés des informations non classifiées contrôlées.

ID : NIST SP 800-171 R2 3.11.1 Propriété : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Évaluer les risques dans les relations avec les tiers	CMA_0014 - Évaluer les risques dans les relations avec les tiers	Manuel, désactivé	1.1.0
Effectuer une évaluation des risques	CMA_0388 - Effectuer une évaluation des risques	Manuel, désactivé	1.1.0

Rechercher régulièrement les vulnérabilités dans les applications et les systèmes de l’organisation et quand de nouvelles vulnérabilités affectant ces systèmes et applications sont identifiées.

ID : NIST SP 800-171 R2 3.11.2 Propriété : Partagé

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Une solution d’évaluation des vulnérabilités doit être activée sur vos machines virtuelles	Audite les machines virtuelles pour détecter si elles exécutent une solution d’évaluation des vulnérabilités prise en charge. L’identification et l’analyse des vulnérabilités constituent un composant fondamental de chaque programme de sécurité et d’évaluation des cyber-risques. Le niveau tarifaire Standard d’Azure Security Center comprend l’analyse des vulnérabilités de vos machines virtuelles sans coût supplémentaire. De plus, Security Center peut déployer cet outil automatiquement pour vous.	AuditIfNotExists, Désactivé	3.0.0
Azure Defender pour App Service doit être activé	Azure Defender pour App Service tire parti de l’envergure du cloud et de la visibilité dont Azure bénéficie en tant que fournisseur de cloud pour superviser les attaques d’applications web courantes.	AuditIfNotExists, Désactivé	1.0.3
Azure Defender pour les serveurs Azure SQL Database doit être activé	Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles.	AuditIfNotExists, Désactivé	1.0.2
Azure Defender pour Key Vault doit être activé	Azure Defender pour Key Vault fournit une couche de protection supplémentaire et une veille de sécurité qui détecte les tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des comptes Key Vault.	AuditIfNotExists, Désactivé	1.0.3
Azure Defender pour Resource Manager doit être activé	Azure Defender pour Ressource Manager supervise automatiquement toutes les opérations de gestion de ressources dans votre organisation. Azure Defender détecte les menaces et vous alerte sur les activités suspectes. Découvrez-en plus sur les fonctionnalités d’Azure Defender pour Resource Manager sur https://aka.ms/defender-for-resource-manager. L’activation de ce plan Azure Defender entraîne des frais. Découvrez-en plus sur les détails de tarification par région sur la page de tarification de Security Center : https://aka.ms/pricing-security-center.	AuditIfNotExists, Désactivé	1.0.0
Azure Defender pour les serveurs doit être activé	Azure Defender pour les serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs, et génère des recommandations de durcissement, ainsi que des alertes sur les activités suspectes.	AuditIfNotExists, Désactivé	1.0.3
Azure Defender pour les serveurs SQL sur les machines doit être activé	Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles.	AuditIfNotExists, Désactivé	1.0.2
Vous devez activer Azure Defender pour SQL pour les serveurs Azure SQL non protégés	Auditer les serveurs SQL sans Advanced Data Security	AuditIfNotExists, Désactivé	2.0.1
Vous devez activer Azure Defender pour SQL pour les instances SQL Managed Instance non protégées	Auditez chaque instance managée SQL sans Advanced Data Security.	AuditIfNotExists, Désactivé	1.0.2
Implémenter un accès privilégié pour l’exécution d’activités d’analyse des vulnérabilités	CMA_C1555 - Implémenter un accès privilégié pour l’exécution d’activités d’analyse des vulnérabilités	Manuel, désactivé	1.1.0
Microsoft Defender pour les conteneurs doit être activé	Microsoft Defender pour les conteneurs fournit des protections renforcées, d’évaluation des vulnérabilités et d’exécution pour vos environnements Kubernetes Azure, hybrides et multiclouds.	AuditIfNotExists, Désactivé	1.0.0
Microsoft Defender pour le stockage doit être activé	Microsoft Defender pour le stockage détecte les menaces potentielles pour vos comptes de stockage. Il permet d’éviter les trois impacts majeurs sur vos données et votre charge de travail : les chargements de fichiers malveillants, l’exfiltration de données sensibles et l’altération des données. Le nouveau plan Defender pour le stockage inclut l’analyse des programmes malveillants et la détection des menaces de données sensibles. Ce plan fournit également une structure tarifaire prévisible (par compte de stockage) pour contrôler la couverture et les coûts.	AuditIfNotExists, Désactivé	1.0.0
Effectuer des analyses de vulnérabilité	CMA_0393 – Effectuer des analyses de vulnérabilité	Manuel, désactivé	1.1.0
Corriger les défauts du système d’information	CMA_0427 – Corriger les défauts du système d’information	Manuel, désactivé	1.1.0
Les résultats des vulnérabilités des bases de données SQL doivent être résolus	Supervisez les résultats de l’analyse des vulnérabilités et les recommandations sur la correction des vulnérabilités liées aux bases de données.	AuditIfNotExists, Désactivé	4.1.0
Les résultats des vulnérabilités des serveurs SQL Server sur les machines doivent être résolus	L'évaluation des vulnérabilités SQL analyse votre base de données à la recherche de vulnérabilités de sécurité et expose tout écart par rapport aux meilleures pratiques, tel que les erreurs de configuration, les autorisations excessives et les données sensibles non protégées. La résolution des vulnérabilités détectées peut améliorer considérablement la posture de sécurité de votre base de données.	AuditIfNotExists, Désactivé	1.0.0
Les vulnérabilités dans les configurations de la sécurité des conteneurs doivent être corrigées	Auditer les vulnérabilités dans la configuration de sécurité sur les machines où Docker est installé et afficher en tant que recommandations dans Azure Security Center.	AuditIfNotExists, Désactivé	3.0.0
Les vulnérabilités dans la configuration de la sécurité sur vos machines doivent être corrigées	Les serveurs qui ne respectent pas la base de référence configurée seront supervisés par Azure Security Center en tant que recommandation	AuditIfNotExists, Désactivé	3.1.0
Les vulnérabilités dans la configuration de la sécurité de vos groupes de machines virtuelles identiques doivent être corrigées	Auditez les vulnérabilités de système d’exploitation dans vos groupes de machines virtuelles identiques pour les protéger des attaques.	AuditIfNotExists, Désactivé	3.0.0
L’évaluation des vulnérabilités doit être activée sur SQL Managed Instance	Auditez chaque instance managée SQL qui n’a pas d’analyses récurrentes d’évaluation des vulnérabilités activées. L’évaluation des vulnérabilités peut découvrir et suivre les potentielles vulnérabilités de base de données, et vous aider à y remédier.	AuditIfNotExists, Désactivé	1.0.1
L’évaluation des vulnérabilités doit être activée sur vos serveurs SQL	Auditer les serveurs Azure SQL pour lesquels l’évaluation des vulnérabilités n’est pas correctement configurée. L’évaluation des vulnérabilités peut découvrir et suivre les potentielles vulnérabilités de base de données, et vous aider à y remédier.	AuditIfNotExists, Désactivé	3.0.0
L’évaluation des vulnérabilités doit être activée sur vos espaces de travail Synapse	Découvrez, suivez et corrigez les vulnérabilités potentielles en configurant des analyses récurrentes d’évaluation des vulnérabilités SQL sur vos espaces de travail Synapse.	AuditIfNotExists, Désactivé	1.0.0

Corriger les vulnérabilités conformément aux évaluations des risques.

ID : NIST SP 800-171 R2 3.11.3 Propriété : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Une solution d’évaluation des vulnérabilités doit être activée sur vos machines virtuelles	Audite les machines virtuelles pour détecter si elles exécutent une solution d’évaluation des vulnérabilités prise en charge. L’identification et l’analyse des vulnérabilités constituent un composant fondamental de chaque programme de sécurité et d’évaluation des cyber-risques. Le niveau tarifaire Standard d’Azure Security Center comprend l’analyse des vulnérabilités de vos machines virtuelles sans coût supplémentaire. De plus, Security Center peut déployer cet outil automatiquement pour vous.	AuditIfNotExists, Désactivé	3.0.0
Azure Defender pour App Service doit être activé	Azure Defender pour App Service tire parti de l’envergure du cloud et de la visibilité dont Azure bénéficie en tant que fournisseur de cloud pour superviser les attaques d’applications web courantes.	AuditIfNotExists, Désactivé	1.0.3
Azure Defender pour les serveurs Azure SQL Database doit être activé	Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles.	AuditIfNotExists, Désactivé	1.0.2
Azure Defender pour Key Vault doit être activé	Azure Defender pour Key Vault fournit une couche de protection supplémentaire et une veille de sécurité qui détecte les tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des comptes Key Vault.	AuditIfNotExists, Désactivé	1.0.3
Azure Defender pour Resource Manager doit être activé	Azure Defender pour Ressource Manager supervise automatiquement toutes les opérations de gestion de ressources dans votre organisation. Azure Defender détecte les menaces et vous alerte sur les activités suspectes. Découvrez-en plus sur les fonctionnalités d’Azure Defender pour Resource Manager sur https://aka.ms/defender-for-resource-manager. L’activation de ce plan Azure Defender entraîne des frais. Découvrez-en plus sur les détails de tarification par région sur la page de tarification de Security Center : https://aka.ms/pricing-security-center.	AuditIfNotExists, Désactivé	1.0.0
Azure Defender pour les serveurs doit être activé	Azure Defender pour les serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs, et génère des recommandations de durcissement, ainsi que des alertes sur les activités suspectes.	AuditIfNotExists, Désactivé	1.0.3
Azure Defender pour les serveurs SQL sur les machines doit être activé	Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles.	AuditIfNotExists, Désactivé	1.0.2
Vous devez activer Azure Defender pour SQL pour les serveurs Azure SQL non protégés	Auditer les serveurs SQL sans Advanced Data Security	AuditIfNotExists, Désactivé	2.0.1
Vous devez activer Azure Defender pour SQL pour les instances SQL Managed Instance non protégées	Auditez chaque instance managée SQL sans Advanced Data Security.	AuditIfNotExists, Désactivé	1.0.2
Microsoft Defender pour les conteneurs doit être activé	Microsoft Defender pour les conteneurs fournit des protections renforcées, d’évaluation des vulnérabilités et d’exécution pour vos environnements Kubernetes Azure, hybrides et multiclouds.	AuditIfNotExists, Désactivé	1.0.0
Microsoft Defender pour le stockage doit être activé	Microsoft Defender pour le stockage détecte les menaces potentielles pour vos comptes de stockage. Il permet d’éviter les trois impacts majeurs sur vos données et votre charge de travail : les chargements de fichiers malveillants, l’exfiltration de données sensibles et l’altération des données. Le nouveau plan Defender pour le stockage inclut l’analyse des programmes malveillants et la détection des menaces de données sensibles. Ce plan fournit également une structure tarifaire prévisible (par compte de stockage) pour contrôler la couverture et les coûts.	AuditIfNotExists, Désactivé	1.0.0
Effectuer des analyses de vulnérabilité	CMA_0393 – Effectuer des analyses de vulnérabilité	Manuel, désactivé	1.1.0
Corriger les défauts du système d’information	CMA_0427 – Corriger les défauts du système d’information	Manuel, désactivé	1.1.0
Les résultats des vulnérabilités des bases de données SQL doivent être résolus	Supervisez les résultats de l’analyse des vulnérabilités et les recommandations sur la correction des vulnérabilités liées aux bases de données.	AuditIfNotExists, Désactivé	4.1.0
Les résultats des vulnérabilités des serveurs SQL Server sur les machines doivent être résolus	L'évaluation des vulnérabilités SQL analyse votre base de données à la recherche de vulnérabilités de sécurité et expose tout écart par rapport aux meilleures pratiques, tel que les erreurs de configuration, les autorisations excessives et les données sensibles non protégées. La résolution des vulnérabilités détectées peut améliorer considérablement la posture de sécurité de votre base de données.	AuditIfNotExists, Désactivé	1.0.0
Les vulnérabilités dans les configurations de la sécurité des conteneurs doivent être corrigées	Auditer les vulnérabilités dans la configuration de sécurité sur les machines où Docker est installé et afficher en tant que recommandations dans Azure Security Center.	AuditIfNotExists, Désactivé	3.0.0
Les vulnérabilités dans la configuration de la sécurité sur vos machines doivent être corrigées	Les serveurs qui ne respectent pas la base de référence configurée seront supervisés par Azure Security Center en tant que recommandation	AuditIfNotExists, Désactivé	3.1.0
Les vulnérabilités dans la configuration de la sécurité de vos groupes de machines virtuelles identiques doivent être corrigées	Auditez les vulnérabilités de système d’exploitation dans vos groupes de machines virtuelles identiques pour les protéger des attaques.	AuditIfNotExists, Désactivé	3.0.0
L’évaluation des vulnérabilités doit être activée sur SQL Managed Instance	Auditez chaque instance managée SQL qui n’a pas d’analyses récurrentes d’évaluation des vulnérabilités activées. L’évaluation des vulnérabilités peut découvrir et suivre les potentielles vulnérabilités de base de données, et vous aider à y remédier.	AuditIfNotExists, Désactivé	1.0.1
L’évaluation des vulnérabilités doit être activée sur vos serveurs SQL	Auditer les serveurs Azure SQL pour lesquels l’évaluation des vulnérabilités n’est pas correctement configurée. L’évaluation des vulnérabilités peut découvrir et suivre les potentielles vulnérabilités de base de données, et vous aider à y remédier.	AuditIfNotExists, Désactivé	3.0.0
L’évaluation des vulnérabilités doit être activée sur vos espaces de travail Synapse	Découvrez, suivez et corrigez les vulnérabilités potentielles en configurant des analyses récurrentes d’évaluation des vulnérabilités SQL sur vos espaces de travail Synapse.	AuditIfNotExists, Désactivé	1.0.0

Évaluation de la sécurité

Évaluer périodiquement les contrôles de sécurité dans les systèmes d’entreprise afin de déterminer s’ils sont efficaces dans leur application.

ID : NIST SP 800-171 R2 3.12.1 Propriété : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Évaluer les contrôles de sécurité	CMA_C1145 - Évaluer les contrôles de sécurité	Manuel, désactivé	1.1.0
Fournir les résultats de l’évaluation de la sécurité	CMA_C1147 - Fournir les résultats de l’évaluation de la sécurité	Manuel, désactivé	1.1.0
Développer un plan d’évaluation de la sécurité	CMA_C1144 - Développer un plan d’évaluation de la sécurité	Manuel, désactivé	1.1.0
Produire un rapport d’évaluation de la sécurité	CMA_C1146 - Produire un rapport d’évaluation de la sécurité	Manuel, désactivé	1.1.0

Développez et implémentez des plans d'action conçus pour pallier les lacunes et réduire ou supprimer les vulnérabilités dans les systèmes de l'organisation.

ID : NIST SP 800-171 R2 3.12.2 Propriété : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Développer des POA&M	CMA_C1156 – Développer POA&M	Manuel, désactivé	1.1.0
Établir une stratégie de gestion des risques	CMA_0258 - Établir une stratégie de gestion des risques	Manuel, désactivé	1.1.0
Implémenter des plans d’action et des jalons pour le processus du programme de sécurité	CMA_C1737 - Implémenter des plans d’action et des jalons pour le processus du programme de sécurité	Manuel, désactivé	1.1.0
Mettre à jour les éléments POA&M	CMA_C1157 – Mettre à jour des éléments POA&M	Manuel, désactivé	1.1.0

Superviser les contrôles de sécurité de façon continue pour garantir l’efficacité continue des contrôles.

ID : NIST SP 800-171 R2 3.12.3 Propriété : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Configurer la liste verte des détections	CMA_0068 - Configurer la liste verte des détections	Manuel, désactivé	1.1.0
Activer les capteurs pour la solution de sécurité de point de terminaison	CMA_0514 – Activer les capteurs pour la solution de sécurité de point de terminaison	Manuel, désactivé	1.1.0
Faire l’objet d’une révision de sécurité indépendante	CMA_0515 - Faire l’objet d’une révision de sécurité indépendante	Manuel, désactivé	1.1.0

Développez, documentez et mettez régulièrement à jour les plans de sécurité système qui décrivent les limites système, les environnements de système d'exploitation, la manière dont les exigences de sécurité sont implémentées, ainsi que les relations avec d'autres systèmes.

ID : NIST SP 800-171 R2 3.12.4 Propriété : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Développer et établir un plan de sécurité des systèmes	CMA_0151 - Développer et établir un plan de sécurité des systèmes	Manuel, désactivé	1.1.0
Développer des stratégies et des procédures de sécurité des informations	CMA_0158 -Développer des stratégies et des procédures de sécurité des informations	Manuel, désactivé	1.1.0
Développer un SSP qui répond aux critères	CMA_C1492 - Développer un SSP qui répond aux critères	Manuel, désactivé	1.1.0
Établir un programme de confidentialité	CMA_0257 - Établir un programme de confidentialité	Manuel, désactivé	1.1.0
Établir un programme de sécurité des informations	CMA_0263 - Établir un programme de sécurité des informations	Manuel, désactivé	1.1.0
Établir les exigences de sécurité pour la fabrication d’appareils connectés	CMA_0279 - Établir les exigences de sécurité pour la fabrication d’appareils connectés	Manuel, désactivé	1.1.0
Implémenter les principes d’ingénierie de la sécurité des systèmes d’information	CMA_0325 - Implémenter les principes d’ingénierie de la sécurité des systèmes d’information	Manuel, désactivé	1.1.0
Mettre à jour les stratégies de sécurité des informations	CMA_0518 - Mettre à jour les stratégies de sécurité des informations	Manuel, désactivé	1.1.0

Protection du système et des communications

Superviser, contrôler et protéger les communications (c’est-à-dire les informations transmises ou reçues par les systèmes de l’organisation) aux limites externes et aux limites internes clés des systèmes de l’organisation.

ID : NIST SP 800-171 R2 3.13.1 Propriété : Partagé

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
[Préversion] : L’ensemble du trafic Internet doit transiter par votre Pare-feu Azure déployé	Azure Security Center a détecté que certains de vos sous-réseaux ne sont pas protégés par un pare-feu de nouvelle génération. Protégez vos sous-réseaux contre les menaces potentielles en limitant leur accès avec le pare-feu Azure ou un pare-feu de nouvelle génération pris en charge	AuditIfNotExists, Désactivé	3.0.0-preview
[Préversion] : L’accès public au compte de stockage doit être interdit	L’accès en lecture public anonyme aux conteneurs et aux blobs dans Stockage Azure est un moyen pratique de partager des données, mais peut présenter des risques pour la sécurité. Pour éviter les violations de données provoquées par un accès anonyme non souhaité, Microsoft recommande d’empêcher l’accès public à un compte de stockage, sauf si votre scénario l’exige.	audit, Audit, refus, Refus, désactivé, Désactivé	3.1.0-preview
Les recommandations de renforcement de réseau adaptatif doivent être appliquées sur les machines virtuelles accessibles à partir d’Internet	Azure Security Center analyse les tendances du trafic des machines virtuelles accessibles sur Internet et fournit des recommandations sur les règles de groupe de sécurité réseau à utiliser pour réduire la surface d’attaque potentielle	AuditIfNotExists, Désactivé	3.0.0
Tous les ports réseau doivent être restreints sur les groupes de sécurité réseau associés à votre machine virtuelle	Azure Security Center a identifié qu’une partie des règles de trafic entrant de vos groupes de sécurité réseau est trop permissive. Les règles de trafic entrant ne doivent pas autoriser l’accès à partir des plages « Tout » ou « Internet ». Cela peut permettre aux attaquants de cibler vos ressources.	AuditIfNotExists, Désactivé	3.0.0
Les services Gestion des API doivent utiliser un réseau virtuel	Le déploiement d’un réseau virtuel Azure offre une sécurité renforcée et une isolation, et vous permet de placer votre service Gestion des API dans un réseau routable non-Internet auquel vous contrôlez l’accès. Ces réseaux peuvent ensuite être connectés à vos réseaux locaux à l’aide de différentes technologies VPN, ce qui permet d’accéder à vos services back-end au sein du réseau et/ou localement. Le portail des développeurs et la passerelle API peuvent être configurés pour être accessibles depuis Internet ou uniquement au sein du réseau virtuel.	Audit, Refuser, Désactivé	1.0.2
App Configuration doit utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à vos instances de configuration d’application plutôt qu’à l’ensemble du service, vous êtes également protégé contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/appconfig/private-endpoint.	AuditIfNotExists, Désactivé	1.0.2
Des plages d’adresses IP autorisées doivent être définies sur les services Kubernetes	Limitez l’accès à l’API Gestion des services Kubernetes en n’accordant l’accès à l’API qu’à des adresses IP de plages spécifiques. Nous vous recommandons de limiter l’accès aux plages d’adresses IP autorisées afin d’être sûr que seules les applications des réseaux autorisés puissent accéder au cluster.	Audit, Désactivé	2.0.1
Les ressources Azure AI Services doivent limiter l’accès réseau	En limitant l’accès réseau, vous pouvez vous assurer que seuls les réseaux autorisés peuvent accéder au service. Pour ce faire, configurez des règles réseau afin que seules les applications provenant de réseaux autorisés puissent accéder au service Azure AI.	Audit, Refuser, Désactivé	3.2.0
API Azure pour FHIR doit utiliser une liaison privée	API Azure pour FHIR doit avoir au moins une connexion de point de terminaison privé approuvée. Les clients d’un réseau virtuel peuvent accéder de façon sécurisée aux ressources qui ont des connexions de point de terminaison privés via des liens privés. Pour plus d’informations, consultez https://aka.ms/fhir-privatelink.	Audit, Désactivé	1.0.0
Azure Cache pour Redis doit utiliser une liaison privée	Les points de terminaison privés vous permettent de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à vos instances Azure Cache pour Redis, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link.	AuditIfNotExists, Désactivé	1.0.0
Le service Recherche cognitive Azure doit utiliser une référence SKU qui prend en charge les liaisons privées	Avec les références SKU prises en charge de Recherche cognitive Azure, Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique à la source ou à la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre service de recherche, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/azure-cognitive-search/inbound-private-endpoints.	Audit, Refuser, Désactivé	1.0.0
Les services Recherche cognitive Azure doivent désactiver l’accès réseau public	La désactivation de l’accès au réseau public améliore la sécurité en s’assurant que votre service Recherche cognitive Azure n’est pas exposé sur l’Internet public. La création de points de terminaison privés peut limiter l’exposition de votre service de recherche. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/azure-cognitive-search/inbound-private-endpoints.	Audit, Refuser, Désactivé	1.0.0
Les services Recherche cognitive Azure doivent utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à la Recherche cognitive Azure, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/azure-cognitive-search/inbound-private-endpoints.	Audit, Désactivé	1.0.0
Les comptes Azure Cosmos DB doivent avoir des règles de pare-feu	Les règles de pare-feu doivent être définies dans vos comptes Azure Cosmos DB pour empêcher le trafic provenant de sources non autorisées. Les comptes qui possèdent au moins une règle IP définie avec le filtre de réseau virtuel activé sont considérés comme conformes. Les comptes qui désactivent l’accès public sont également jugés conformes.	Audit, Refuser, Désactivé	2.0.0
Azure Data Factory doit utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à Azure Data Factory, vous réduisez les risques de fuite de données. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/data-factory/data-factory-private-link.	AuditIfNotExists, Désactivé	1.0.0
Les domaines Azure Event Grid doivent utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En faisant correspondre des points de terminaison privés à votre domaine Event Grid plutôt qu’à l’ensemble du service, vous vous protégez également contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privateendpoints.	Audit, Désactivé	1.0.2
Les rubriques Azure Event Grid doivent utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En faisant correspondre des points de terminaison privés à votre rubrique Event Grid plutôt qu’à l’ensemble du service, vous vous protégez également contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privateendpoints.	Audit, Désactivé	1.0.2
Azure File Sync doit utiliser une liaison privée	La création d’un point de terminaison privé pour la ressource de service de synchronisation de stockage indiquée vous permet d’adresser votre ressource de service de synchronisation de stockage à partir de l’espace d’adressage IP privé du réseau de votre organisation, plutôt que via le point de terminaison public accessible via Internet. La création d’un point de terminaison privé ne désactive pas le point de terminaison public.	AuditIfNotExists, Désactivé	1.0.0
Le pare-feu doit être activé pour Azure Key Vault	Activez le pare-feu du coffre de clés pour que le coffre de clés ne soit pas accessible par défaut aux adresses IP publiques. Vous pouvez éventuellement configurer des plages d’adresses IP spécifiques pour limiter l’accès à ces réseaux. Plus d’informations sur : https://docs.microsoft.com/azure/key-vault/general/network-security	Audit, Refuser, Désactivé	3.2.1
Les coffres de clés Azure doivent utiliser une liaison privée	Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à un coffre de clés, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/akvprivatelink.	[parameters('audit_effect')]	1.2.1
Les espaces de travail Azure Machine Learning doivent utiliser un lien privé	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des espaces de travail Azure Machine Learning, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link.	Audit, Désactivé	1.0.0
Les espaces de noms Azure Service Bus doivent utiliser la liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des espaces de noms Service Bus, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/service-bus-messaging/private-link-service.	AuditIfNotExists, Désactivé	1.0.0
Azure SignalR Service doit utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les points de terminaison privés à votre ressource Azure SignalR Service au lieu du service entier, vous réduisez les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/asrs/privatelink.	Audit, Désactivé	1.0.0
Les espaces de travail Azure Synapse doivent utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à l’espace de travail Azure Synapse, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links.	Audit, Désactivé	1.0.1
Azure Web Application Firewall doit être activé pour les points d’entrée Azure Front Door	Déployez Azure Web Application Firewall (WAF) devant les applications web publiques pour bénéficier d’un contrôle supplémentaire du trafic entrant. Web Application Firewall (WAF) offre une protection centralisée de vos applications web contre les codes malveillants exploitant une faille de sécurité et les vulnérabilités telles que les injections de code SQL, le scripting inter-site, les exécutions de fichiers locales et à distance. Vous pouvez également restreindre l’accès à vos applications web par pays, plages d’adresses IP et autres paramètres http(s) par le biais de règles personnalisées.	Audit, Refuser, Désactivé	1.0.2
Le service Azure Web PubSub doit utiliser une liaison privée	Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre service Azure Web PubSub, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/awps/privatelink.	Audit, Désactivé	1.0.0
Les comptes Cognitive Services doivent désactiver l’accès au réseau public	Pour améliorer la sécurité des comptes Cognitive Services, vérifiez qu’elle n’est pas exposée à l’Internet public et qu’elle est accessible seulement à partir d’un point de terminaison privé. Désactivez la propriété d’accès réseau public, comme décrit dans https://go.microsoft.com/fwlink/?linkid=2129800. Cette option désactive l’accès à partir de tout espace d’adressage public situé en dehors de la plage d’adresses IP Azure, et refuse toutes les connexions qui correspondent aux règles de pare-feu basées sur des adresses IP ou un réseau virtuel. Cette configuration réduit les risques de fuite de données.	Audit, Refuser, Désactivé	3.0.1
Les services Cognitive Services doivent utiliser une liaison privée	Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les points de terminaison privés à Cognitive Services, vous réduisez le risque de fuite de données. En savoir plus sur les liaisons privées : https://go.microsoft.com/fwlink/?linkid=2129800.	Audit, Désactivé	3.0.0
Les registres de conteneurs ne doivent pas autoriser un accès réseau non restreint	Par défaut, les registres de conteneurs Azure acceptent les connexions via Internet à partir d’hôtes situés sur n’importe quel réseau. Pour protéger vos registres des menaces potentielles, autorisez l’accès uniquement à partir de points de terminaison privés, d’adresses ou de plages d’adresses IP publiques spécifiques. Si aucune règle réseau n’est configurée pour votre registre, celui-ci apparaît dans les ressources non saines. Découvrez plus en détail les règles réseau de Container Registry ici : https://aka.ms/acr/privatelink,https://aka.ms/acr/portal/public-network et https://aka.ms/acr/vnet.	Audit, Refuser, Désactivé	2.0.0
Les registres de conteneurs doivent utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à vos registres de conteneurs plutôt qu’à l’ensemble du service, vous êtes également protégé contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/acr/private-link.	Audit, Désactivé	1.0.1
Les comptes CosmosDB doivent utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre compte CosmosDB, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints.	Audit, Désactivé	1.0.0
Les ressources d’accès au disque doivent utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés aux accès disque, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/disksprivatelinksdoc.	AuditIfNotExists, Désactivé	1.0.0
Les espaces de noms Event Hub doivent utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des espaces de noms Event Hub, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/event-hubs/private-link-service.	AuditIfNotExists, Désactivé	1.0.0
Les machines virtuelles accessibles à partir d’Internet doivent être protégées avec des groupes de sécurité réseau	Protégez vos machines virtuelles contre les menaces potentielles en limitant leur accès avec des groupes de sécurité réseau (NSG). Pour en savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau, consultez https://aka.ms/nsg-doc.	AuditIfNotExists, Désactivé	3.0.0
Les instances de service d’approvisionnement d’appareils IoT Hub doivent utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les points de terminaison privés au service de provisionnement d’appareils IoT Hub, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/iotdpsvnet.	Audit, Désactivé	1.0.0
Le transfert IP doit être désactivé sur votre machine virtuelle	L’activation du transfert IP sur la carte réseau d’une machine virtuelle permet à cette dernière de recevoir du trafic adressé à d’autres destinations. Le transfert IP n'est que rarement nécessaire (par exemple, lors de l'utilisation de la machine virtuelle en tant qu'appliance virtuelle de réseau). Par conséquent, un examen par l'équipe de sécurité réseau est requis.	AuditIfNotExists, Désactivé	3.0.0
Les ports de gestion des machines virtuelles doivent être protégés par un contrôle d’accès réseau juste-à-temps	L’éventuel accès juste-à-temps (JIT) au réseau sera supervisé par Azure Security Center en tant que recommandation	AuditIfNotExists, Désactivé	3.0.0
Les ports de gestion doivent être fermés sur vos machines virtuelles	Les ports de gestion à distance ouverts exposent votre machine virtuelle à un niveau de risque élevé des attaques basées sur Internet. Ces attaques tentent d’attaquer par force brute les informations d’identification afin d’obtenir un accès administrateur à l’ordinateur.	AuditIfNotExists, Désactivé	3.0.0
Les machines virtuelles non connectées à Internet doivent être protégées avec des groupes de sécurité réseau	Protégez vos machines virtuelles non connectées à Internet contre les menaces potentielles en limitant l’accès avec des groupes de sécurité réseau (NSG). Pour en savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau, consultez https://aka.ms/nsg-doc.	AuditIfNotExists, Désactivé	3.0.0
Les connexions des points de terminaison privés sur Azure SQL Database doivent être activées	Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure SQL Database privée.	Audit, Désactivé	1.1.0
Le point de terminaison privé doit être activé pour les serveurs MariaDB	Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure Database for MariaDB privée. Configurez une connexion de point de terminaison privé pour autoriser l’accès uniquement au trafic provenant de réseaux connus et empêcher l’accès à partir de toutes les autres adresses IP, y compris dans Azure.	AuditIfNotExists, Désactivé	1.0.2
Le point de terminaison privé doit être activé pour les serveurs MySQL	Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure Database pour MySQL privée. Configurez une connexion de point de terminaison privé pour autoriser l’accès uniquement au trafic provenant de réseaux connus et empêcher l’accès à partir de toutes les autres adresses IP, y compris dans Azure.	AuditIfNotExists, Désactivé	1.0.2
Le point de terminaison privé doit être activé pour les serveurs PostgreSQL	Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure Database pour PostgreSQL privée. Configurez une connexion de point de terminaison privé pour autoriser l’accès uniquement au trafic provenant de réseaux connus et empêcher l’accès à partir de toutes les autres adresses IP, y compris dans Azure.	AuditIfNotExists, Désactivé	1.0.2
L’accès au réseau public sur Azure SQL Database doit être désactivé	Le fait de désactiver la propriété d’accès au réseau public permet d’améliorer la sécurité puisque votre base de données Azure SQL n’est accessible qu’à partir d’un point de terminaison privé. Cette configuration interdit toutes les connexions visées par des règles de pare-feu basées sur l’adresse IP ou le réseau virtuel.	Audit, Refuser, Désactivé	1.1.0
L’accès au réseau public doit être désactivé pour les serveurs MariaDB	Désactivez la propriété d’accès au réseau public pour améliorer la sécurité et vous assurer que votre compte Azure Database for MariaDB n’est accessible qu’à partir d’un point de terminaison privé. Cette configuration désactive strictement l’accès à partir de tout espace d’adressage public en dehors de la plage d’adresses IP Azure, et refuse toutes les connexions visées par des règles de pare-feu basées sur l’adresse IP ou le réseau virtuel.	Audit, Refuser, Désactivé	2.0.0
L’accès au réseau public doit être désactivé pour les serveurs MySQL	Désactivez la propriété d’accès au réseau public pour améliorer la sécurité et vous assurer que votre compte Azure Database pour MySQL n’est accessible qu’à partir d’un point de terminaison privé. Cette configuration désactive strictement l’accès à partir de tout espace d’adressage public en dehors de la plage d’adresses IP Azure, et refuse toutes les connexions visées par des règles de pare-feu basées sur l’adresse IP ou le réseau virtuel.	Audit, Refuser, Désactivé	2.0.0
L’accès au réseau public doit être désactivé pour les serveurs PostgreSQL	Désactivez la propriété d’accès au réseau public pour améliorer la sécurité et vous assurer que votre compte Azure Database pour PostgreSQL n’est accessible qu’à partir d’un point de terminaison privé. Cette configuration désactive l’accès à partir de tout espace d’adressage public en dehors de la plage d’adresses IP Azure, et refuse toutes les connexions visées par des règles de pare-feu basées sur l’adresse IP ou le réseau virtuel.	Audit, Refuser, Désactivé	2.0.1
Les comptes de stockage doivent limiter l’accès réseau	L’accès réseau aux comptes de stockage doit être limité. Configurez les règles du réseau de telle manière que seules les applications des réseaux autorisés puissent accéder au compte de stockage. Pour autoriser les connexions de clients Internet ou locaux spécifiques, l’accès au trafic peut être autorisé à partir de réseaux virtuels Azure spécifiques ou vers des plages d’adresses IP Internet publiques.	Audit, Refuser, Désactivé	1.1.1
Les comptes de stockage doivent utiliser des règles de réseau virtuel pour restreindre l’accès au réseau	Protégez vos comptes de stockage contre les menaces potentielles en utilisant des règles de réseau virtuel comme méthode préférée au lieu du filtrage basé sur IP. La désactivation du filtrage basé sur IP empêche les IP publiques d’accéder à vos comptes de stockage.	Audit, Refuser, Désactivé	1.0.1
Les comptes de stockage doivent utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre compte de stockage, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/azureprivatelinkoverview	AuditIfNotExists, Désactivé	2.0.0
les sous-réseaux doivent être associés à un groupe de sécurité réseau	Protégez votre sous-réseau contre les menaces potentielles en y limitant l’accès avec un groupe de sécurité réseau (NSG). Les NSG contiennent une liste de règles de liste de contrôle d’accès (ACL) qui autorisent ou refusent le trafic réseau vers votre sous-réseau.	AuditIfNotExists, Désactivé	3.0.0
Les modèles VM Image Builder doivent utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à vos ressources de création VM Image Builder, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet.	Audit, Désactivé, Refus	1.1.0
Le pare-feu d’applications web (WAF) doit être activé pour Application Gateway	Déployez Azure Web Application Firewall (WAF) devant les applications web publiques pour bénéficier d’un contrôle supplémentaire du trafic entrant. Web Application Firewall (WAF) offre une protection centralisée de vos applications web contre les codes malveillants exploitant une faille de sécurité et les vulnérabilités telles que les injections de code SQL, le scripting inter-site, les exécutions de fichiers locales et à distance. Vous pouvez également restreindre l’accès à vos applications web par pays, plages d’adresses IP et autres paramètres http(s) par le biais de règles personnalisées.	Audit, Refuser, Désactivé	2.0.0

Établir et gérer des clés de chiffrement pour le chiffrement utilisé dans les systèmes d’entreprise.

ID : NIST SP 800-171 R2 3.13.10 Propriété : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
[Préversion] : les coffres Azure Recovery Services doivent utiliser des clés gérées par le client pour chiffrer les données de sauvegarde	Utilisez des clés gérées par le client pour gérer le chiffrement au repos de vos données de sauvegarde. Par défaut, les données client sont chiffrées avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/AB-CmkEncryption.	Audit, Refuser, Désactivé	1.0.0-preview
[Préversion] : Les données du service d’approvisionnement d’appareils IoT Hub doivent être chiffrées à l’aide de clés gérées par le client (CMK)	Utilisez des clés gérées par le client pour gérer le chiffrement au repos de votre service d’approvisionnement d’appareils IoT Hub. Les données sont automatiquement chiffrées au repos avec des clés gérées par le service, mais des clés gérées par le client (CMK) sont généralement requises pour répondre aux normes de conformité réglementaire. Les CMK permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Pour en savoir plus sur le chiffrement par clés gérées par le client, consultez https://aka.ms/dps/CMK.	Audit, Refuser, Désactivé	1.0.0-preview
API Azure pour FHIR doit utiliser une clé gérée par le client pour chiffrer les données au repos	Utilisez une clé gérée par le client pour contrôler le chiffrement au repos des données stockées dans API Azure pour FHIR lorsqu’il s’agit d’une exigence réglementaire ou de conformité. Les clés gérées par le client fournissent également un double chiffrement en ajoutant une deuxième couche de chiffrement en plus du chiffrement par défaut effectué avec les clés gérées par le service.	audit, Audit, désactivé, Désactivé	1.1.0
Les comptes Azure Automation doivent utiliser des clés gérées par le client pour chiffrer les données au repos	Utilisez des clés gérées par le client pour gérer le chiffrement au repos de vos comptes Azure Automation. Par défaut, les données client sont chiffrées avec des clés gérées par le service, mais des clés gérées par le client sont généralement requises pour répondre aux normes de conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/automation-cmk.	Audit, Refuser, Désactivé	1.0.0
Le compte Azure Batch doit utiliser des clés gérées par le client pour chiffrer les données	Utilisez des clés gérées par le client pour gérer le chiffrement au repos des données de votre compte Batch. Par défaut, les données client sont chiffrées avec des clés gérées par le service, mais des clés gérées par le client sont généralement requises pour répondre aux normes de conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/Batch-CMK.	Audit, Refuser, Désactivé	1.0.1
Le groupe de conteneurs Azure Container Instances doit utiliser une clé gérée par le client pour le chiffrement	Sécurisez vos conteneurs avec plus de flexibilité à l’aide de clés gérées par le client. Quand vous spécifiez une clé gérée par le client, cette clé est utilisée pour protéger et contrôler l’accès à la clé qui chiffre vos données. L’utilisation de clés gérées par le client fournit des fonctionnalités supplémentaires permettant de contrôler la rotation de la clé de chiffrement de clé ou d’effacer des données par chiffrement.	Audit, Désactivé, Refus	1.0.0
Les comptes Azure Cosmos DB doivent utiliser des clés gérées par le client pour chiffrer les données au repos	Utilisez des clés gérées par le client pour gérer le chiffrement au repos de votre compte Azure Cosmos DB. Par défaut, les données sont chiffrées au repos avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/cosmosdb-cmk.	audit, Audit, refus, Refus, désactivé, Désactivé	1.1.0
Les travaux Azure Data Box doivent utiliser une clé gérée par le client pour chiffrer le mot de passe de déverrouillage de l’appareil	Utilisez une clé gérée par le client pour contrôler le chiffrement du mot de passe de déverrouillage de l’appareil pour Azure Data Box. Les clés gérées par le client permettent également de gérer l’accès au mot de passe de déverrouillage de l’appareil par le service Data Box afin de préparer l’appareil et de copier des données de manière automatisée. Les données situées sur l’appareil lui-même sont déjà chiffrées au repos par un chiffrement Advanced Encryption Standard 256 bits, et le mot de passe de déverrouillage de l’appareil est chiffré par défaut avec une clé gérée par Microsoft.	Audit, Refuser, Désactivé	1.0.0
Le chiffrement au repos Azure Data Explorer doit utiliser une clé gérée par le client	Le fait d’activer le chiffrement au repos à l’aide d’une clé gérée par le client dans votre cluster Azure Data Explorer vous offre un contrôle supplémentaire sur cette clé. Cette fonctionnalité est souvent utilisée par les clients qui ont des exigences particulières au niveau de la conformité. Par ailleurs, elle nécessite un coffre de clés pour la gestion des clés.	Audit, Refuser, Désactivé	1.0.0
Les fabriques de données Azure doivent être chiffrées avec une clé gérée par le client	Utilisez des clés gérées par le client pour gérer le chiffrement au repos de votre instance Azure Data Factory. Par défaut, les données client sont chiffrées avec des clés gérées par le service, mais des clés gérées par le client sont généralement requises pour répondre aux normes de conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/adf-cmk.	Audit, Refuser, Désactivé	1.0.1
Les clusters Azure HDInsight doivent utiliser les clés gérées par le client pour chiffrer les données au repos	Utilisez des clés gérées par le client pour gérer le chiffrement au repos de vos clusters Azure HDInsight. Par défaut, les données client sont chiffrées avec des clés gérées par le service, mais des clés gérées par le client sont généralement requises pour répondre aux normes de conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/hdi.cmk.	Audit, Refuser, Désactivé	1.0.1
Les clusters Azure HDInsight doivent utiliser le chiffrement sur l’hôte pour chiffrer les données au repos	Le fait d’activer le chiffrement sur l’hôte vous aide à protéger et à préserver vos données de façon à répondre aux engagements de votre entreprise concernant la sécurité et la conformité. Lorsque vous activez le chiffrement sur l'hôte, les données stockées sur l'hôte de machine virtuelle sont chiffrées au repos et les flux sont chiffrés dans le service de stockage.	Audit, Refuser, Désactivé	1.0.0
Les espaces de travail Azure Machine Learning doivent être chiffrés au moyen d’une clé gérée par le client	Gérez le chiffrement au repos des données de votre espace de travail Azure Machine Learning à l’aide de clés gérées par le client. Par défaut, les données client sont chiffrées avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/azureml-workspaces-cmk.	Audit, Refuser, Désactivé	1.0.3
Les clusters de journaux Azure Monitor doivent être chiffrés avec une clé gérée par le client	Créez un cluster de journaux Azure Monitor avec un chiffrement au moyen de clés gérées par le client. Par défaut, les données des journaux sont chiffrées avec des clés gérées par le service, mais des clés gérées par le client sont généralement requises pour répondre à la conformité réglementaire. La clé gérée par le client dans Azure Monitor vous donne davantage de contrôle sur l’accès à vos données ; consultez https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys.	audit, Audit, refus, Refus, désactivé, Désactivé	1.1.0
Les travaux de Azure Stream Analytics doivent utiliser des clés gérées par le client pour chiffrer les données	Utilisez des clés gérées par le client pour stocker de manière sécurisée les ressources de métadonnées et de données privées de vos travaux Stream Analytics dans votre compte de stockage. Cela vous permet de contrôler totalement la manière dont vos données Stream Analytics sont chiffrées.	audit, Audit, refus, Refus, désactivé, Désactivé	1.1.0
Les espaces de travail Azure Synapse doivent utiliser des clés gérées par le client pour chiffrer les données au repos	Utilisez des clés gérées par le client pour contrôler le chiffrement au repos des données stockées dans des espaces de travail Azure synapse. Les clés gérées par le client fournissent un double chiffrement en ajoutant une deuxième couche de chiffrement en plus du chiffrement par défaut avec les clés gérées par le service.	Audit, Refuser, Désactivé	1.0.0
Bot Service doit être chiffré avec une clé gérée par le client	Azure Bot Service chiffre automatiquement votre ressource pour protéger vos données et satisfaire aux engagements de sécurité et de conformité de l’organisation. Par défaut, les clés de chiffrement gérées par Microsoft sont utilisées. Pour une plus grande flexibilité dans la gestion des clés ou le contrôle de l’accès à votre abonnement, sélectionnez des clés gérées par le client, option également appelée Bring Your Own Key (BYOK). En savoir plus sur le chiffrement Azure Bot Service : https://docs.microsoft.com/azure/bot-service/bot-service-encryption.	audit, Audit, refus, Refus, désactivé, Désactivé	1.1.0
Les disques de système d’exploitation et de données dans les clusters Azure Kubernetes Service doivent être chiffrés par des clés gérées par le client	Le chiffrement des disques de système d’exploitation et de données à l’aide de clés gérées par le client offre davantage de contrôle et de flexibilité dans la gestion des clés. Il s’agit d’une exigence courante dans de nombreuses normes de conformité réglementaires et sectorielles.	Audit, Refuser, Désactivé	1.0.1
Les comptes Cognitive Services doivent activer le chiffrement des données avec une clé gérée par le client	Des clés gérées par le client sont généralement requises pour répondre aux normes de conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données stockées dans Cognitive Services avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. En savoir plus sur les clés gérées par le client sur https://go.microsoft.com/fwlink/?linkid=2121321.	Audit, Refuser, Désactivé	2.1.0
Les registres de conteneurs doivent être chiffrés avec une clé gérée par le client	Utilisez des clés gérées par le client pour gérer le chiffrement au repos du contenu de vos registres. Par défaut, les données sont chiffrées au repos avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/acr/CMK.	Audit, Refuser, Désactivé	1.1.2
Définir un processus de gestion des clés physiques	CMA_0115 – Définir un processus de gestion des clés physiques	Manuel, désactivé	1.1.0
Définir l’utilisation du chiffrement	CMA_0120 – Définir l’utilisation du chiffrement	Manuel, désactivé	1.1.0
Définir les exigences organisationnelles pour la gestion des clés de chiffrement	CMA_0123 – Définir les exigences organisationnelles pour la gestion des clés de chiffrement	Manuel, désactivé	1.1.0
Déterminer les exigences d’assertion	CMA_0136 – Déterminer les exigences d’assertion	Manuel, désactivé	1.1.0
Les espaces de noms Event Hub doivent utiliser une clé gérée par le client pour le chiffrement	Azure Event Hubs prend en charge le chiffrement des données au repos à l’aide de clés gérées par Microsoft (par défaut) ou de clés gérées par le client. Si vous choisissez de chiffrer les données à l’aide de clés gérées par le client, vous pouvez attribuer, faire pivoter, désactiver et révoquer l’accès aux clés utilisées par Event Hub pour chiffrer les données dans votre espace de noms. Notez qu’Event Hub ne prend en charge que le chiffrement avec des clés gérées par le client pour les espaces de noms dans les clusters dédiés.	Audit, Désactivé	1.0.0
Les comptes HPC Cache doivent utiliser une clé gérée par le client pour le chiffrement	Gérez le chiffrement au repos d’Azure HPC Cache avec des clés gérées par le client. Par défaut, les données client sont chiffrées avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion.	Audit, Désactivé, Refus	2.0.0
Émettre des certificats de clé publique	CMA_0347 – Émettre des certificats de clé publique	Manuel, désactivé	1.1.0
L’environnement de service d’intégration Logic Apps doit être chiffré avec des clés gérées par le client	Effectuez des déploiements dans un environnement de service d’intégration pour gérer le chiffrement au repos des données Logic Apps avec des clés gérées par le client. Par défaut, les données client sont chiffrées avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion.	Audit, Refuser, Désactivé	1.0.0
Gérer les clés de chiffrement symétriques	CMA_0367 – Gérer les clés de chiffrement symétriques	Manuel, désactivé	1.1.0
Les disques managés doivent être doublement chiffrés avec des clés gérées par la plateforme et des clés gérées par le client	Les clients sensibles haute sécurité qui sont concernés par les risques associés à un algorithme de chiffrement particulier, une implémentation ou une clé compromise, peuvent choisir une couche supplémentaire de chiffrement à l’aide d’un algorithme/mode de chiffrement différent au niveau de la couche d’infrastructure à l’aide de clés de chiffrement gérées par la plateforme. Les jeux de chiffrement de disque sont requis pour utiliser le chiffrement double. Pour en savoir plus, rendez-vous sur https://aka.ms/disks-doubleEncryption.	Audit, Refuser, Désactivé	1.0.0
Les serveurs MySQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos	Utilisez des clés gérées par le client pour gérer le chiffrement au repos de vos serveurs MySQL. Par défaut, les données sont chiffrées au repos avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion.	AuditIfNotExists, Désactivé	1.0.4
Les disques de système d’exploitation et de données doivent être chiffrés avec une clé gérée par le client	Utilisez des clés gérées par le client pour gérer le chiffrement au repos du contenu de vos disques managés. Par défaut, les données sont chiffrées au repos avec des clés gérées par la plateforme. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/disks-cmk.	Audit, Refuser, Désactivé	3.0.0
Les serveurs PostgreSQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos	Utilisez des clés gérées par le client pour gérer le chiffrement au repos de vos serveurs PostgreSQL. Par défaut, les données sont chiffrées au repos avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion.	AuditIfNotExists, Désactivé	1.0.4
Restreindre l’accès aux clés privées	CMA_0445 – Restreindre l’accès aux clés privées	Manuel, désactivé	1.1.0
Les requêtes enregistrées dans Azure Monitor doivent être enregistrées dans le compte de stockage du client pour le chiffrement des journaux	Liez le compte de stockage à un espace de travail Log Analytics pour protéger les requêtes enregistrées avec le chiffrement du compte de stockage. Les clés gérées par le client sont généralement nécessaires pour respecter la conformité réglementaire et pour mieux contrôler l’accès à vos requêtes enregistrées dans Azure Monitor. Pour plus d’informations, consultez https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries.	audit, Audit, refus, Refus, désactivé, Désactivé	1.1.0
Les espaces de noms Service Bus Premium doivent utiliser une clé gérée par le client pour le chiffrement	Azure Service Bus prend en charge le chiffrement des données au repos à l’aide de clés gérées par Microsoft (par défaut) ou de clés gérées par le client. Si vous choisissez de chiffrer les données à l’aide de clés gérées par le client, vous pouvez attribuer, faire pivoter, désactiver et révoquer l’accès aux clés utilisées par Service Bus pour chiffrer les données dans votre espace de noms. Notez que Service Bus ne prend en charge que le chiffrement avec des clés gérées par le client pour les espaces de noms premium.	Audit, Désactivé	1.0.0
Les instances managées SQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos	L’implémentation de TDE (Transparent Data Encryption) avec votre propre clé vous offre les avantages suivants : transparence et contrôle améliorés sur le protecteur TDE, sécurité renforcée avec un service externe HSM et promotion de la séparation des tâches. Cette recommandation s’applique aux organisations ayant une exigence de conformité associée.	Audit, Refuser, Désactivé	2.0.0
Les serveurs SQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos	L’implémentation de TDE (Transparent Data Encryption) avec votre propre clé vous offre les avantages suivants : transparence et contrôle améliorés sur le protecteur TDE, sécurité renforcée avec un service externe HSM et promotion de la séparation des tâches. Cette recommandation s’applique aux organisations ayant une exigence de conformité associée.	Audit, Refuser, Désactivé	2.0.1
Les étendues de chiffrement des comptes de stockage doivent utiliser des clés gérées par le client pour chiffrer les données au repos	Utilisez des clés gérées par le client pour gérer le chiffrement au repos des étendues de chiffrement des comptes de stockage. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Découvrez-en plus sur les étendues de chiffrement des comptes de stockage à l’adresse https://aka.ms/encryption-scopes-overview.	Audit, Refuser, Désactivé	1.0.0
Les comptes de stockage doivent utiliser une clé gérée par le client pour le chiffrement	Sécurisez votre compte de stockage blob et fichier avec une plus grande flexibilité en utilisant des clés gérées par le client. Quand vous spécifiez une clé gérée par le client, cette clé est utilisée pour protéger et contrôler l’accès à la clé qui chiffre vos données. L’utilisation de clés gérées par le client fournit des fonctionnalités supplémentaires permettant de contrôler la rotation de la clé de chiffrement de clé ou d’effacer des données par chiffrement.	Audit, Désactivé	1.0.3

Utiliser le chiffrement validé FIPS quand il est utilisé pour protéger la confidentialité d’informations CUI.

ID : NIST SP 800-171 R2 3.13.11 Propriété : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Définir l’utilisation du chiffrement	CMA_0120 – Définir l’utilisation du chiffrement	Manuel, désactivé	1.1.0

Empêchez l'activation à distance des appareils informatiques de collaboration, puis fournissez une indication des appareils en cours d'utilisation aux utilisateurs présents sur l'appareil.

ID : NIST SP 800-171 R2 3.13.12 Propriété : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Notifier explicitement l’utilisation d’appareils informatiques collaboratifs	CMA_C1649 - Notifier explicitement l’utilisation d’appareils informatiques collaboratifs	Manuel, désactivé	1.1.1
Interdire l’activation à distance d’appareils informatiques collaboratifs	CMA_C1648 - Interdire l’activation à distance d’appareils informatiques collaboratifs	Manuel, désactivé	1.1.0

Contrôlez et surveillez l'utilisation du code mobile.

ID : NIST SP 800-171 R2 3.13.13 Propriété : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Autoriser, surveiller et contrôler l’utilisation des technologies de code mobile	CMA_C1653 - Autoriser, surveiller et contrôler l’utilisation des technologies de code mobile	Manuel, désactivé	1.1.0
Définir des technologies de code mobile acceptables et inacceptables	CMA_C1651 - Définir des technologies de code mobile acceptables et inacceptables	Manuel, désactivé	1.1.0
Établir des restrictions d’utilisation pour les technologies de code mobile	CMA_C1652 – Établir des restrictions d’utilisation pour les technologies de code mobile	Manuel, désactivé	1.1.0

Contrôlez, puis surveillez l'utilisation des technologies de protocole appels voix sur IP (VoIP).

ID : NIST SP 800-171 R2 3.13.14 Propriété : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Autoriser, surveiller et contrôler la VoIP	CMA_0025 - Autoriser, surveiller et contrôler la VoIP	Manuel, désactivé	1.1.0
Établir des restrictions d’utilisation VoIP	CMA_0280 – Établir des restrictions d’utilisation de la VoIP	Manuel, désactivé	1.1.0

Protéger l’authenticité des sessions de communication.

ID : NIST SP 800-171 R2 3.13.15 Propriété : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Configurer des stations de travail pour rechercher des certificats numériques	CMA_0073 – Configurer des stations de travail pour rechercher des certificats numériques	Manuel, désactivé	1.1.0
Appliquer des identificateurs de session uniques aléatoires	CMA_0247 – Appliquer des identificateurs de session uniques aléatoires	Manuel, désactivé	1.1.0

Protéger la confidentialité de CUI au repos.

ID : NIST SP 800-171 R2 3.13.16 Propriété : Partagé

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
App Service Environment doit avoir le chiffrement interne activé	Affecter la valeur true à InternalEncryption permet de chiffrer le fichier d’échange, les disques des Workers et le trafic réseau interne entre les front-ends et les Workers dans App Service Environment. Pour plus d’informations, reportez-vous à https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption.	Audit, Désactivé	1.0.1
Les variables de compte Automation doivent être chiffrées	Il est important d’activer le chiffrement des ressources variables du compte Automation lors du stockage de données sensibles	Audit, Refuser, Désactivé	1.1.0
Les travaux Azure Data Box doivent activer le chiffrement double pour les données au repos sur l’appareil	Activez une deuxième couche de chiffrement basé sur un logiciel pour les données au repos sur l’appareil. L’appareil est déjà protégé par un chiffrement Advanced Encryption Standard 256 bits pour les données au repos. Cette option ajoute une deuxième couche de chiffrement des données.	Audit, Refuser, Désactivé	1.0.0
Les clusters de journaux Azure Monitor doivent être créés avec le chiffrement d’infrastructure activé (chiffrement double)	Pour que le chiffrement des données sécurisées soit activé au niveau du service et de l’infrastructure avec deux algorithmes de chiffrement différents et deux clés différentes, utilisez un cluster Azure Monitor dédié. Cette option est activée par défaut quand elle est prise en charge dans la région ; consultez https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview.	audit, Audit, refus, Refus, désactivé, Désactivé	1.1.0
Les appareils Azure Stack Edge doivent utiliser le chiffrement double	Pour sécuriser les données au repos sur l’appareil, vérifiez qu’elles sont chiffrées doublement, que l’accès aux données est contrôlé et une fois que l’appareil est désactivé, que les données sont effacées de façon sécurisée des disques de données. Le chiffrement double correspond à l’utilisation de deux couches de chiffrement : Chiffrement BitLocker XTS-AES 256 bits sur les volumes de données et chiffrement intégré des disques durs. Pour plus d’informations, consultez la documentation de présentation de la sécurité de l’appareil Azure Stack Edge.	audit, Audit, refus, Refus, désactivé, Désactivé	1.1.0
Le chiffrement de disque doit être activé dans Azure Data Explorer	Le fait d’activer le chiffrement de disque vous aide à protéger et à préserver vos données de façon à répondre aux engagements de votre entreprise concernant la sécurité et la conformité.	Audit, Refuser, Désactivé	2.0.0
Le chiffrement double doit être activé dans Azure Data Explorer	Le fait d’activer le chiffrement double vous aide à protéger et à préserver vos données de façon à répondre aux engagements de votre entreprise concernant la sécurité et la conformité. Lorsque le chiffrement double est activé, les données d’un compte de stockage sont chiffrées deux fois : une fois au niveau du service et une fois au niveau de l’infrastructure, avec deux algorithmes de chiffrement différents et deux clés différentes.	Audit, Refuser, Désactivé	2.0.0
Établir une procédure de gestion des fuites de données	CMA_0255 – Établir une procédure de gestion des fuites de données	Manuel, désactivé	1.1.0
Implémenter des contrôles pour sécuriser tous les supports	CMA_0314 – Implémenter des contrôles pour sécuriser tous les supports	Manuel, désactivé	1.1.0
Le chiffrement d’infrastructure doit être activé sur les serveurs Azure Database pour MySQL	Activez le chiffrement d’infrastructure pour les serveurs Azure Database pour MySQL garantir une sécurité renforcée des données. Lorsque le chiffrement de l’infrastructure est activé, les données au repos sont chiffrées deux fois à l’aide des clés gérées par Microsoft conformes FIPS 140-2.	Audit, Refuser, Désactivé	1.0.0
Le chiffrement d’infrastructure doit être activé sur les serveurs Azure Database pour PostgreSQL	Activez le chiffrement d’infrastructure pour les serveurs Azure Database pour PostgreSQL garantir une sécurité renforcée des données. Lorsque le chiffrement de l’infrastructure est activé, les données au repos sont chiffrées deux fois à l’aide des clés gérées par Microsoft conformes FIPS 140-2	Audit, Refuser, Désactivé	1.0.0
Protéger les données en transit à l’aide du chiffrement	CMA_0403 – Protéger les données en transit à l’aide du chiffrement	Manuel, désactivé	1.1.0
Protéger des informations spéciales	CMA_0409 – Protéger des informations spéciales	Manuel, désactivé	1.1.0
La propriété ClusterProtectionLevel doit être définie sur EncryptAndSign pour les clusters Service Fabric	Service Fabric fournit trois niveaux de protection (None, Sign et EncryptAndSign) pour la communication nœud à nœud à l’aide d’un certificat de cluster principal. Définissez le niveau de protection pour vous assurer que tous les messages de nœud à nœud sont chiffrés et signés numériquement	Audit, Refuser, Désactivé	1.1.0
Les comptes de stockage doivent avoir le chiffrement d’infrastructure activé	Activez le chiffrement d’infrastructure pour garantir une sécurité renforcée des données. Quand le chiffrement d’infrastructure est activé, les données d’un compte de stockage sont chiffrées deux fois.	Audit, Refuser, Désactivé	1.0.0
Les disques temporaires et le cache pour les pools de nœuds d’agent dans les clusters Azure Kubernetes Service doivent être chiffrés sur l’hôte	Pour améliorer la sécurité des données, les données stockées sur l’hôte de machine virtuelle de vos machines virtuelles de nœuds Azure Kubernetes Service doivent être chiffrées au repos. Il s’agit d’une exigence courante dans de nombreuses normes de conformité réglementaires et sectorielles.	Audit, Refuser, Désactivé	1.0.1
Transparent Data Encryption sur les bases de données SQL doit être activé	Le chiffrement transparent des données doit être activé pour protéger les données au repos et respecter les conditions de conformité requises	AuditIfNotExists, Désactivé	2.0.0
Les machines virtuelles et les groupes de machines virtuelles identiques doivent avoir le chiffrement sur l’hôte activé	Utilisez le chiffrement sur l’hôte pour obtenir un chiffrement de bout en bout pour vos données de machine virtuelle et de groupes de machines virtuelles identiques. Le chiffrement sur l’hôte permet le chiffrement au repos pour votre disque temporaire et les caches du système d’exploitation/disque de données. Les disques de système d’exploitation temporaires et éphémères sont chiffrés avec des clés gérées par la plateforme lorsque le chiffrement sur l’hôte est activé. Les caches du système d’exploitation et du disque de données sont chiffrés au repos avec des clés gérées par le client ou par la plateforme, selon le type de chiffrement sélectionné sur le disque. Pour en savoir plus, rendez-vous sur https://aka.ms/vm-hbe.	Audit, Refuser, Désactivé	1.0.0
Les machines virtuelles doivent chiffrer les disques temporaires, les caches et les flux de données entre les ressources de calcul et de stockage	Par défaut, le système d’exploitation et les disques de données d’une machine virtuelle sont chiffrés au repos à l’aide de clés gérées par la plateforme. Les disques temporaires, les caches de données et le flux de données entre le calcul et le stockage ne sont pas chiffrés. Ignorez cette recommandation dans les deux cas suivants : Vous utilisez le chiffrement sur l’hôte. Le chiffrement côté serveur des Disques managés répond à vos besoins en matière de sécurité. Pour en savoir plus, consultez : Chiffrement côté serveur de Stockage sur disque Azure : https://aka.ms/disksse, Différentes offres de chiffrement de disque : https://aka.ms/diskencryptioncomparison	AuditIfNotExists, Désactivé	2.0.3

Utiliser les conceptions architecturales, les techniques de développement de logiciels et les principes d’ingénierie des systèmes qui favorisent la sécurité des informations au sein des systèmes d’entreprise.

ID : NIST SP 800-171 R2 3.13.2 Propriété : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
[Préversion] : L’ensemble du trafic Internet doit transiter par votre Pare-feu Azure déployé	Azure Security Center a détecté que certains de vos sous-réseaux ne sont pas protégés par un pare-feu de nouvelle génération. Protégez vos sous-réseaux contre les menaces potentielles en limitant leur accès avec le pare-feu Azure ou un pare-feu de nouvelle génération pris en charge	AuditIfNotExists, Désactivé	3.0.0-preview
[Préversion] : L’accès public au compte de stockage doit être interdit	L’accès en lecture public anonyme aux conteneurs et aux blobs dans Stockage Azure est un moyen pratique de partager des données, mais peut présenter des risques pour la sécurité. Pour éviter les violations de données provoquées par un accès anonyme non souhaité, Microsoft recommande d’empêcher l’accès public à un compte de stockage, sauf si votre scénario l’exige.	audit, Audit, refus, Refus, désactivé, Désactivé	3.1.0-preview
Les recommandations de renforcement de réseau adaptatif doivent être appliquées sur les machines virtuelles accessibles à partir d’Internet	Azure Security Center analyse les tendances du trafic des machines virtuelles accessibles sur Internet et fournit des recommandations sur les règles de groupe de sécurité réseau à utiliser pour réduire la surface d’attaque potentielle	AuditIfNotExists, Désactivé	3.0.0
Tous les ports réseau doivent être restreints sur les groupes de sécurité réseau associés à votre machine virtuelle	Azure Security Center a identifié qu’une partie des règles de trafic entrant de vos groupes de sécurité réseau est trop permissive. Les règles de trafic entrant ne doivent pas autoriser l’accès à partir des plages « Tout » ou « Internet ». Cela peut permettre aux attaquants de cibler vos ressources.	AuditIfNotExists, Désactivé	3.0.0
Les services Gestion des API doivent utiliser un réseau virtuel	Le déploiement d’un réseau virtuel Azure offre une sécurité renforcée et une isolation, et vous permet de placer votre service Gestion des API dans un réseau routable non-Internet auquel vous contrôlez l’accès. Ces réseaux peuvent ensuite être connectés à vos réseaux locaux à l’aide de différentes technologies VPN, ce qui permet d’accéder à vos services back-end au sein du réseau et/ou localement. Le portail des développeurs et la passerelle API peuvent être configurés pour être accessibles depuis Internet ou uniquement au sein du réseau virtuel.	Audit, Refuser, Désactivé	1.0.2
App Configuration doit utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à vos instances de configuration d’application plutôt qu’à l’ensemble du service, vous êtes également protégé contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/appconfig/private-endpoint.	AuditIfNotExists, Désactivé	1.0.2
Des plages d’adresses IP autorisées doivent être définies sur les services Kubernetes	Limitez l’accès à l’API Gestion des services Kubernetes en n’accordant l’accès à l’API qu’à des adresses IP de plages spécifiques. Nous vous recommandons de limiter l’accès aux plages d’adresses IP autorisées afin d’être sûr que seules les applications des réseaux autorisés puissent accéder au cluster.	Audit, Désactivé	2.0.1
Les ressources Azure AI Services doivent limiter l’accès réseau	En limitant l’accès réseau, vous pouvez vous assurer que seuls les réseaux autorisés peuvent accéder au service. Pour ce faire, configurez des règles réseau afin que seules les applications provenant de réseaux autorisés puissent accéder au service Azure AI.	Audit, Refuser, Désactivé	3.2.0
API Azure pour FHIR doit utiliser une liaison privée	API Azure pour FHIR doit avoir au moins une connexion de point de terminaison privé approuvée. Les clients d’un réseau virtuel peuvent accéder de façon sécurisée aux ressources qui ont des connexions de point de terminaison privés via des liens privés. Pour plus d’informations, consultez https://aka.ms/fhir-privatelink.	Audit, Désactivé	1.0.0
Azure Cache pour Redis doit utiliser une liaison privée	Les points de terminaison privés vous permettent de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à vos instances Azure Cache pour Redis, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link.	AuditIfNotExists, Désactivé	1.0.0
Le service Recherche cognitive Azure doit utiliser une référence SKU qui prend en charge les liaisons privées	Avec les références SKU prises en charge de Recherche cognitive Azure, Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique à la source ou à la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre service de recherche, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/azure-cognitive-search/inbound-private-endpoints.	Audit, Refuser, Désactivé	1.0.0
Les services Recherche cognitive Azure doivent désactiver l’accès réseau public	La désactivation de l’accès au réseau public améliore la sécurité en s’assurant que votre service Recherche cognitive Azure n’est pas exposé sur l’Internet public. La création de points de terminaison privés peut limiter l’exposition de votre service de recherche. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/azure-cognitive-search/inbound-private-endpoints.	Audit, Refuser, Désactivé	1.0.0
Les services Recherche cognitive Azure doivent utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à la Recherche cognitive Azure, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/azure-cognitive-search/inbound-private-endpoints.	Audit, Désactivé	1.0.0
Les comptes Azure Cosmos DB doivent avoir des règles de pare-feu	Les règles de pare-feu doivent être définies dans vos comptes Azure Cosmos DB pour empêcher le trafic provenant de sources non autorisées. Les comptes qui possèdent au moins une règle IP définie avec le filtre de réseau virtuel activé sont considérés comme conformes. Les comptes qui désactivent l’accès public sont également jugés conformes.	Audit, Refuser, Désactivé	2.0.0
Azure Data Factory doit utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à Azure Data Factory, vous réduisez les risques de fuite de données. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/data-factory/data-factory-private-link.	AuditIfNotExists, Désactivé	1.0.0
Les domaines Azure Event Grid doivent utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En faisant correspondre des points de terminaison privés à votre domaine Event Grid plutôt qu’à l’ensemble du service, vous vous protégez également contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privateendpoints.	Audit, Désactivé	1.0.2
Les rubriques Azure Event Grid doivent utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En faisant correspondre des points de terminaison privés à votre rubrique Event Grid plutôt qu’à l’ensemble du service, vous vous protégez également contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privateendpoints.	Audit, Désactivé	1.0.2
Azure File Sync doit utiliser une liaison privée	La création d’un point de terminaison privé pour la ressource de service de synchronisation de stockage indiquée vous permet d’adresser votre ressource de service de synchronisation de stockage à partir de l’espace d’adressage IP privé du réseau de votre organisation, plutôt que via le point de terminaison public accessible via Internet. La création d’un point de terminaison privé ne désactive pas le point de terminaison public.	AuditIfNotExists, Désactivé	1.0.0
Le pare-feu doit être activé pour Azure Key Vault	Activez le pare-feu du coffre de clés pour que le coffre de clés ne soit pas accessible par défaut aux adresses IP publiques. Vous pouvez éventuellement configurer des plages d’adresses IP spécifiques pour limiter l’accès à ces réseaux. Plus d’informations sur : https://docs.microsoft.com/azure/key-vault/general/network-security	Audit, Refuser, Désactivé	3.2.1
Les coffres de clés Azure doivent utiliser une liaison privée	Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à un coffre de clés, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/akvprivatelink.	[parameters('audit_effect')]	1.2.1
Les espaces de travail Azure Machine Learning doivent utiliser un lien privé	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des espaces de travail Azure Machine Learning, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link.	Audit, Désactivé	1.0.0
Les espaces de noms Azure Service Bus doivent utiliser la liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des espaces de noms Service Bus, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/service-bus-messaging/private-link-service.	AuditIfNotExists, Désactivé	1.0.0
Azure SignalR Service doit utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les points de terminaison privés à votre ressource Azure SignalR Service au lieu du service entier, vous réduisez les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/asrs/privatelink.	Audit, Désactivé	1.0.0
Les espaces de travail Azure Synapse doivent utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à l’espace de travail Azure Synapse, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links.	Audit, Désactivé	1.0.1
Azure Web Application Firewall doit être activé pour les points d’entrée Azure Front Door	Déployez Azure Web Application Firewall (WAF) devant les applications web publiques pour bénéficier d’un contrôle supplémentaire du trafic entrant. Web Application Firewall (WAF) offre une protection centralisée de vos applications web contre les codes malveillants exploitant une faille de sécurité et les vulnérabilités telles que les injections de code SQL, le scripting inter-site, les exécutions de fichiers locales et à distance. Vous pouvez également restreindre l’accès à vos applications web par pays, plages d’adresses IP et autres paramètres http(s) par le biais de règles personnalisées.	Audit, Refuser, Désactivé	1.0.2
Le service Azure Web PubSub doit utiliser une liaison privée	Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre service Azure Web PubSub, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/awps/privatelink.	Audit, Désactivé	1.0.0
Les comptes Cognitive Services doivent désactiver l’accès au réseau public	Pour améliorer la sécurité des comptes Cognitive Services, vérifiez qu’elle n’est pas exposée à l’Internet public et qu’elle est accessible seulement à partir d’un point de terminaison privé. Désactivez la propriété d’accès réseau public, comme décrit dans https://go.microsoft.com/fwlink/?linkid=2129800. Cette option désactive l’accès à partir de tout espace d’adressage public situé en dehors de la plage d’adresses IP Azure, et refuse toutes les connexions qui correspondent aux règles de pare-feu basées sur des adresses IP ou un réseau virtuel. Cette configuration réduit les risques de fuite de données.	Audit, Refuser, Désactivé	3.0.1
Les services Cognitive Services doivent utiliser une liaison privée	Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les points de terminaison privés à Cognitive Services, vous réduisez le risque de fuite de données. En savoir plus sur les liaisons privées : https://go.microsoft.com/fwlink/?linkid=2129800.	Audit, Désactivé	3.0.0
Les registres de conteneurs ne doivent pas autoriser un accès réseau non restreint	Par défaut, les registres de conteneurs Azure acceptent les connexions via Internet à partir d’hôtes situés sur n’importe quel réseau. Pour protéger vos registres des menaces potentielles, autorisez l’accès uniquement à partir de points de terminaison privés, d’adresses ou de plages d’adresses IP publiques spécifiques. Si aucune règle réseau n’est configurée pour votre registre, celui-ci apparaît dans les ressources non saines. Découvrez plus en détail les règles réseau de Container Registry ici : https://aka.ms/acr/privatelink,https://aka.ms/acr/portal/public-network et https://aka.ms/acr/vnet.	Audit, Refuser, Désactivé	2.0.0
Les registres de conteneurs doivent utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à vos registres de conteneurs plutôt qu’à l’ensemble du service, vous êtes également protégé contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/acr/private-link.	Audit, Désactivé	1.0.1
Les comptes CosmosDB doivent utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre compte CosmosDB, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints.	Audit, Désactivé	1.0.0
Les ressources d’accès au disque doivent utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés aux accès disque, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/disksprivatelinksdoc.	AuditIfNotExists, Désactivé	1.0.0
Les espaces de noms Event Hub doivent utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des espaces de noms Event Hub, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/event-hubs/private-link-service.	AuditIfNotExists, Désactivé	1.0.0
Les machines virtuelles accessibles à partir d’Internet doivent être protégées avec des groupes de sécurité réseau	Protégez vos machines virtuelles contre les menaces potentielles en limitant leur accès avec des groupes de sécurité réseau (NSG). Pour en savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau, consultez https://aka.ms/nsg-doc.	AuditIfNotExists, Désactivé	3.0.0
Les instances de service d’approvisionnement d’appareils IoT Hub doivent utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les points de terminaison privés au service de provisionnement d’appareils IoT Hub, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/iotdpsvnet.	Audit, Désactivé	1.0.0
Le transfert IP doit être désactivé sur votre machine virtuelle	L’activation du transfert IP sur la carte réseau d’une machine virtuelle permet à cette dernière de recevoir du trafic adressé à d’autres destinations. Le transfert IP n'est que rarement nécessaire (par exemple, lors de l'utilisation de la machine virtuelle en tant qu'appliance virtuelle de réseau). Par conséquent, un examen par l'équipe de sécurité réseau est requis.	AuditIfNotExists, Désactivé	3.0.0
Les ports de gestion des machines virtuelles doivent être protégés par un contrôle d’accès réseau juste-à-temps	L’éventuel accès juste-à-temps (JIT) au réseau sera supervisé par Azure Security Center en tant que recommandation	AuditIfNotExists, Désactivé	3.0.0
Les ports de gestion doivent être fermés sur vos machines virtuelles	Les ports de gestion à distance ouverts exposent votre machine virtuelle à un niveau de risque élevé des attaques basées sur Internet. Ces attaques tentent d’attaquer par force brute les informations d’identification afin d’obtenir un accès administrateur à l’ordinateur.	AuditIfNotExists, Désactivé	3.0.0
Les machines virtuelles non connectées à Internet doivent être protégées avec des groupes de sécurité réseau	Protégez vos machines virtuelles non connectées à Internet contre les menaces potentielles en limitant l’accès avec des groupes de sécurité réseau (NSG). Pour en savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau, consultez https://aka.ms/nsg-doc.	AuditIfNotExists, Désactivé	3.0.0
Les connexions des points de terminaison privés sur Azure SQL Database doivent être activées	Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure SQL Database privée.	Audit, Désactivé	1.1.0
Le point de terminaison privé doit être activé pour les serveurs MariaDB	Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure Database for MariaDB privée. Configurez une connexion de point de terminaison privé pour autoriser l’accès uniquement au trafic provenant de réseaux connus et empêcher l’accès à partir de toutes les autres adresses IP, y compris dans Azure.	AuditIfNotExists, Désactivé	1.0.2
Le point de terminaison privé doit être activé pour les serveurs MySQL	Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure Database pour MySQL privée. Configurez une connexion de point de terminaison privé pour autoriser l’accès uniquement au trafic provenant de réseaux connus et empêcher l’accès à partir de toutes les autres adresses IP, y compris dans Azure.	AuditIfNotExists, Désactivé	1.0.2
Le point de terminaison privé doit être activé pour les serveurs PostgreSQL	Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure Database pour PostgreSQL privée. Configurez une connexion de point de terminaison privé pour autoriser l’accès uniquement au trafic provenant de réseaux connus et empêcher l’accès à partir de toutes les autres adresses IP, y compris dans Azure.	AuditIfNotExists, Désactivé	1.0.2
L’accès au réseau public sur Azure SQL Database doit être désactivé	Le fait de désactiver la propriété d’accès au réseau public permet d’améliorer la sécurité puisque votre base de données Azure SQL n’est accessible qu’à partir d’un point de terminaison privé. Cette configuration interdit toutes les connexions visées par des règles de pare-feu basées sur l’adresse IP ou le réseau virtuel.	Audit, Refuser, Désactivé	1.1.0
L’accès au réseau public doit être désactivé pour les serveurs MariaDB	Désactivez la propriété d’accès au réseau public pour améliorer la sécurité et vous assurer que votre compte Azure Database for MariaDB n’est accessible qu’à partir d’un point de terminaison privé. Cette configuration désactive strictement l’accès à partir de tout espace d’adressage public en dehors de la plage d’adresses IP Azure, et refuse toutes les connexions visées par des règles de pare-feu basées sur l’adresse IP ou le réseau virtuel.	Audit, Refuser, Désactivé	2.0.0
L’accès au réseau public doit être désactivé pour les serveurs MySQL	Désactivez la propriété d’accès au réseau public pour améliorer la sécurité et vous assurer que votre compte Azure Database pour MySQL n’est accessible qu’à partir d’un point de terminaison privé. Cette configuration désactive strictement l’accès à partir de tout espace d’adressage public en dehors de la plage d’adresses IP Azure, et refuse toutes les connexions visées par des règles de pare-feu basées sur l’adresse IP ou le réseau virtuel.	Audit, Refuser, Désactivé	2.0.0
L’accès au réseau public doit être désactivé pour les serveurs PostgreSQL	Désactivez la propriété d’accès au réseau public pour améliorer la sécurité et vous assurer que votre compte Azure Database pour PostgreSQL n’est accessible qu’à partir d’un point de terminaison privé. Cette configuration désactive l’accès à partir de tout espace d’adressage public en dehors de la plage d’adresses IP Azure, et refuse toutes les connexions visées par des règles de pare-feu basées sur l’adresse IP ou le réseau virtuel.	Audit, Refuser, Désactivé	2.0.1
Les comptes de stockage doivent limiter l’accès réseau	L’accès réseau aux comptes de stockage doit être limité. Configurez les règles du réseau de telle manière que seules les applications des réseaux autorisés puissent accéder au compte de stockage. Pour autoriser les connexions de clients Internet ou locaux spécifiques, l’accès au trafic peut être autorisé à partir de réseaux virtuels Azure spécifiques ou vers des plages d’adresses IP Internet publiques.	Audit, Refuser, Désactivé	1.1.1
Les comptes de stockage doivent utiliser des règles de réseau virtuel pour restreindre l’accès au réseau	Protégez vos comptes de stockage contre les menaces potentielles en utilisant des règles de réseau virtuel comme méthode préférée au lieu du filtrage basé sur IP. La désactivation du filtrage basé sur IP empêche les IP publiques d’accéder à vos comptes de stockage.	Audit, Refuser, Désactivé	1.0.1
Les comptes de stockage doivent utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre compte de stockage, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/azureprivatelinkoverview	AuditIfNotExists, Désactivé	2.0.0
les sous-réseaux doivent être associés à un groupe de sécurité réseau	Protégez votre sous-réseau contre les menaces potentielles en y limitant l’accès avec un groupe de sécurité réseau (NSG). Les NSG contiennent une liste de règles de liste de contrôle d’accès (ACL) qui autorisent ou refusent le trafic réseau vers votre sous-réseau.	AuditIfNotExists, Désactivé	3.0.0
Les modèles VM Image Builder doivent utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à vos ressources de création VM Image Builder, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet.	Audit, Désactivé, Refus	1.1.0
Le pare-feu d’applications web (WAF) doit être activé pour Application Gateway	Déployez Azure Web Application Firewall (WAF) devant les applications web publiques pour bénéficier d’un contrôle supplémentaire du trafic entrant. Web Application Firewall (WAF) offre une protection centralisée de vos applications web contre les codes malveillants exploitant une faille de sécurité et les vulnérabilités telles que les injections de code SQL, le scripting inter-site, les exécutions de fichiers locales et à distance. Vous pouvez également restreindre l’accès à vos applications web par pays, plages d’adresses IP et autres paramètres http(s) par le biais de règles personnalisées.	Audit, Refuser, Désactivé	2.0.0

Séparer les fonctionnalités utilisateur des fonctionnalités de gestion du système.

ID : NIST SP 800-171 R2 3.13.3 Propriété : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Autoriser l’accès à distance	CMA_0024 – Autoriser l’accès à distance	Manuel, désactivé	1.1.0
Séparer les fonctionnalités de gestion des utilisateurs et des systèmes d’information	CMA_0493 - Séparer les fonctionnalités de gestion des utilisateurs et des systèmes d’information	Manuel, désactivé	1.1.0
Utiliser des machines dédiées pour les tâches d’administration	CMA_0527 - Utiliser des machines dédiées pour les tâches d’administration	Manuel, désactivé	1.1.0

Implémenter des sous-réseaux pour les composants système accessibles publiquement qui sont physiquement ou logiquement séparés des réseaux internes.

ID : NIST SP 800-171 R2 3.13.5 Propriété : Partagé

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
[Préversion] : L’ensemble du trafic Internet doit transiter par votre Pare-feu Azure déployé	Azure Security Center a détecté que certains de vos sous-réseaux ne sont pas protégés par un pare-feu de nouvelle génération. Protégez vos sous-réseaux contre les menaces potentielles en limitant leur accès avec le pare-feu Azure ou un pare-feu de nouvelle génération pris en charge	AuditIfNotExists, Désactivé	3.0.0-preview
[Préversion] : L’accès public au compte de stockage doit être interdit	L’accès en lecture public anonyme aux conteneurs et aux blobs dans Stockage Azure est un moyen pratique de partager des données, mais peut présenter des risques pour la sécurité. Pour éviter les violations de données provoquées par un accès anonyme non souhaité, Microsoft recommande d’empêcher l’accès public à un compte de stockage, sauf si votre scénario l’exige.	audit, Audit, refus, Refus, désactivé, Désactivé	3.1.0-preview
Les recommandations de renforcement de réseau adaptatif doivent être appliquées sur les machines virtuelles accessibles à partir d’Internet	Azure Security Center analyse les tendances du trafic des machines virtuelles accessibles sur Internet et fournit des recommandations sur les règles de groupe de sécurité réseau à utiliser pour réduire la surface d’attaque potentielle	AuditIfNotExists, Désactivé	3.0.0
Tous les ports réseau doivent être restreints sur les groupes de sécurité réseau associés à votre machine virtuelle	Azure Security Center a identifié qu’une partie des règles de trafic entrant de vos groupes de sécurité réseau est trop permissive. Les règles de trafic entrant ne doivent pas autoriser l’accès à partir des plages « Tout » ou « Internet ». Cela peut permettre aux attaquants de cibler vos ressources.	AuditIfNotExists, Désactivé	3.0.0
Les services Gestion des API doivent utiliser un réseau virtuel	Le déploiement d’un réseau virtuel Azure offre une sécurité renforcée et une isolation, et vous permet de placer votre service Gestion des API dans un réseau routable non-Internet auquel vous contrôlez l’accès. Ces réseaux peuvent ensuite être connectés à vos réseaux locaux à l’aide de différentes technologies VPN, ce qui permet d’accéder à vos services back-end au sein du réseau et/ou localement. Le portail des développeurs et la passerelle API peuvent être configurés pour être accessibles depuis Internet ou uniquement au sein du réseau virtuel.	Audit, Refuser, Désactivé	1.0.2
App Configuration doit utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à vos instances de configuration d’application plutôt qu’à l’ensemble du service, vous êtes également protégé contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/appconfig/private-endpoint.	AuditIfNotExists, Désactivé	1.0.2
Des plages d’adresses IP autorisées doivent être définies sur les services Kubernetes	Limitez l’accès à l’API Gestion des services Kubernetes en n’accordant l’accès à l’API qu’à des adresses IP de plages spécifiques. Nous vous recommandons de limiter l’accès aux plages d’adresses IP autorisées afin d’être sûr que seules les applications des réseaux autorisés puissent accéder au cluster.	Audit, Désactivé	2.0.1
Les ressources Azure AI Services doivent limiter l’accès réseau	En limitant l’accès réseau, vous pouvez vous assurer que seuls les réseaux autorisés peuvent accéder au service. Pour ce faire, configurez des règles réseau afin que seules les applications provenant de réseaux autorisés puissent accéder au service Azure AI.	Audit, Refuser, Désactivé	3.2.0
API Azure pour FHIR doit utiliser une liaison privée	API Azure pour FHIR doit avoir au moins une connexion de point de terminaison privé approuvée. Les clients d’un réseau virtuel peuvent accéder de façon sécurisée aux ressources qui ont des connexions de point de terminaison privés via des liens privés. Pour plus d’informations, consultez https://aka.ms/fhir-privatelink.	Audit, Désactivé	1.0.0
Azure Cache pour Redis doit utiliser une liaison privée	Les points de terminaison privés vous permettent de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à vos instances Azure Cache pour Redis, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link.	AuditIfNotExists, Désactivé	1.0.0
Le service Recherche cognitive Azure doit utiliser une référence SKU qui prend en charge les liaisons privées	Avec les références SKU prises en charge de Recherche cognitive Azure, Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique à la source ou à la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre service de recherche, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/azure-cognitive-search/inbound-private-endpoints.	Audit, Refuser, Désactivé	1.0.0
Les services Recherche cognitive Azure doivent désactiver l’accès réseau public	La désactivation de l’accès au réseau public améliore la sécurité en s’assurant que votre service Recherche cognitive Azure n’est pas exposé sur l’Internet public. La création de points de terminaison privés peut limiter l’exposition de votre service de recherche. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/azure-cognitive-search/inbound-private-endpoints.	Audit, Refuser, Désactivé	1.0.0
Les services Recherche cognitive Azure doivent utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à la Recherche cognitive Azure, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/azure-cognitive-search/inbound-private-endpoints.	Audit, Désactivé	1.0.0
Les comptes Azure Cosmos DB doivent avoir des règles de pare-feu	Les règles de pare-feu doivent être définies dans vos comptes Azure Cosmos DB pour empêcher le trafic provenant de sources non autorisées. Les comptes qui possèdent au moins une règle IP définie avec le filtre de réseau virtuel activé sont considérés comme conformes. Les comptes qui désactivent l’accès public sont également jugés conformes.	Audit, Refuser, Désactivé	2.0.0
Azure Data Factory doit utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à Azure Data Factory, vous réduisez les risques de fuite de données. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/data-factory/data-factory-private-link.	AuditIfNotExists, Désactivé	1.0.0
Les domaines Azure Event Grid doivent utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En faisant correspondre des points de terminaison privés à votre domaine Event Grid plutôt qu’à l’ensemble du service, vous vous protégez également contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privateendpoints.	Audit, Désactivé	1.0.2
Les rubriques Azure Event Grid doivent utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En faisant correspondre des points de terminaison privés à votre rubrique Event Grid plutôt qu’à l’ensemble du service, vous vous protégez également contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privateendpoints.	Audit, Désactivé	1.0.2
Azure File Sync doit utiliser une liaison privée	La création d’un point de terminaison privé pour la ressource de service de synchronisation de stockage indiquée vous permet d’adresser votre ressource de service de synchronisation de stockage à partir de l’espace d’adressage IP privé du réseau de votre organisation, plutôt que via le point de terminaison public accessible via Internet. La création d’un point de terminaison privé ne désactive pas le point de terminaison public.	AuditIfNotExists, Désactivé	1.0.0
Le pare-feu doit être activé pour Azure Key Vault	Activez le pare-feu du coffre de clés pour que le coffre de clés ne soit pas accessible par défaut aux adresses IP publiques. Vous pouvez éventuellement configurer des plages d’adresses IP spécifiques pour limiter l’accès à ces réseaux. Plus d’informations sur : https://docs.microsoft.com/azure/key-vault/general/network-security	Audit, Refuser, Désactivé	3.2.1
Les coffres de clés Azure doivent utiliser une liaison privée	Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à un coffre de clés, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/akvprivatelink.	[parameters('audit_effect')]	1.2.1
Les espaces de travail Azure Machine Learning doivent utiliser un lien privé	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des espaces de travail Azure Machine Learning, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link.	Audit, Désactivé	1.0.0
Les espaces de noms Azure Service Bus doivent utiliser la liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des espaces de noms Service Bus, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/service-bus-messaging/private-link-service.	AuditIfNotExists, Désactivé	1.0.0
Azure SignalR Service doit utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les points de terminaison privés à votre ressource Azure SignalR Service au lieu du service entier, vous réduisez les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/asrs/privatelink.	Audit, Désactivé	1.0.0
Les espaces de travail Azure Synapse doivent utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à l’espace de travail Azure Synapse, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links.	Audit, Désactivé	1.0.1
Azure Web Application Firewall doit être activé pour les points d’entrée Azure Front Door	Déployez Azure Web Application Firewall (WAF) devant les applications web publiques pour bénéficier d’un contrôle supplémentaire du trafic entrant. Web Application Firewall (WAF) offre une protection centralisée de vos applications web contre les codes malveillants exploitant une faille de sécurité et les vulnérabilités telles que les injections de code SQL, le scripting inter-site, les exécutions de fichiers locales et à distance. Vous pouvez également restreindre l’accès à vos applications web par pays, plages d’adresses IP et autres paramètres http(s) par le biais de règles personnalisées.	Audit, Refuser, Désactivé	1.0.2
Le service Azure Web PubSub doit utiliser une liaison privée	Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre service Azure Web PubSub, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/awps/privatelink.	Audit, Désactivé	1.0.0
Les comptes Cognitive Services doivent désactiver l’accès au réseau public	Pour améliorer la sécurité des comptes Cognitive Services, vérifiez qu’elle n’est pas exposée à l’Internet public et qu’elle est accessible seulement à partir d’un point de terminaison privé. Désactivez la propriété d’accès réseau public, comme décrit dans https://go.microsoft.com/fwlink/?linkid=2129800. Cette option désactive l’accès à partir de tout espace d’adressage public situé en dehors de la plage d’adresses IP Azure, et refuse toutes les connexions qui correspondent aux règles de pare-feu basées sur des adresses IP ou un réseau virtuel. Cette configuration réduit les risques de fuite de données.	Audit, Refuser, Désactivé	3.0.1
Les services Cognitive Services doivent utiliser une liaison privée	Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les points de terminaison privés à Cognitive Services, vous réduisez le risque de fuite de données. En savoir plus sur les liaisons privées : https://go.microsoft.com/fwlink/?linkid=2129800.	Audit, Désactivé	3.0.0
Les registres de conteneurs ne doivent pas autoriser un accès réseau non restreint	Par défaut, les registres de conteneurs Azure acceptent les connexions via Internet à partir d’hôtes situés sur n’importe quel réseau. Pour protéger vos registres des menaces potentielles, autorisez l’accès uniquement à partir de points de terminaison privés, d’adresses ou de plages d’adresses IP publiques spécifiques. Si aucune règle réseau n’est configurée pour votre registre, celui-ci apparaît dans les ressources non saines. Découvrez plus en détail les règles réseau de Container Registry ici : https://aka.ms/acr/privatelink,https://aka.ms/acr/portal/public-network et https://aka.ms/acr/vnet.	Audit, Refuser, Désactivé	2.0.0
Les registres de conteneurs doivent utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à vos registres de conteneurs plutôt qu’à l’ensemble du service, vous êtes également protégé contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/acr/private-link.	Audit, Désactivé	1.0.1
Les comptes CosmosDB doivent utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre compte CosmosDB, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints.	Audit, Désactivé	1.0.0
Les ressources d’accès au disque doivent utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés aux accès disque, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/disksprivatelinksdoc.	AuditIfNotExists, Désactivé	1.0.0
Les espaces de noms Event Hub doivent utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des espaces de noms Event Hub, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/event-hubs/private-link-service.	AuditIfNotExists, Désactivé	1.0.0
Les machines virtuelles accessibles à partir d’Internet doivent être protégées avec des groupes de sécurité réseau	Protégez vos machines virtuelles contre les menaces potentielles en limitant leur accès avec des groupes de sécurité réseau (NSG). Pour en savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau, consultez https://aka.ms/nsg-doc.	AuditIfNotExists, Désactivé	3.0.0
Les instances de service d’approvisionnement d’appareils IoT Hub doivent utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les points de terminaison privés au service de provisionnement d’appareils IoT Hub, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/iotdpsvnet.	Audit, Désactivé	1.0.0
Le transfert IP doit être désactivé sur votre machine virtuelle	L’activation du transfert IP sur la carte réseau d’une machine virtuelle permet à cette dernière de recevoir du trafic adressé à d’autres destinations. Le transfert IP n'est que rarement nécessaire (par exemple, lors de l'utilisation de la machine virtuelle en tant qu'appliance virtuelle de réseau). Par conséquent, un examen par l'équipe de sécurité réseau est requis.	AuditIfNotExists, Désactivé	3.0.0
Les ports de gestion des machines virtuelles doivent être protégés par un contrôle d’accès réseau juste-à-temps	L’éventuel accès juste-à-temps (JIT) au réseau sera supervisé par Azure Security Center en tant que recommandation	AuditIfNotExists, Désactivé	3.0.0
Les ports de gestion doivent être fermés sur vos machines virtuelles	Les ports de gestion à distance ouverts exposent votre machine virtuelle à un niveau de risque élevé des attaques basées sur Internet. Ces attaques tentent d’attaquer par force brute les informations d’identification afin d’obtenir un accès administrateur à l’ordinateur.	AuditIfNotExists, Désactivé	3.0.0
Les machines virtuelles non connectées à Internet doivent être protégées avec des groupes de sécurité réseau	Protégez vos machines virtuelles non connectées à Internet contre les menaces potentielles en limitant l’accès avec des groupes de sécurité réseau (NSG). Pour en savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau, consultez https://aka.ms/nsg-doc.	AuditIfNotExists, Désactivé	3.0.0
Les connexions des points de terminaison privés sur Azure SQL Database doivent être activées	Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure SQL Database privée.	Audit, Désactivé	1.1.0
Le point de terminaison privé doit être activé pour les serveurs MariaDB	Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure Database for MariaDB privée. Configurez une connexion de point de terminaison privé pour autoriser l’accès uniquement au trafic provenant de réseaux connus et empêcher l’accès à partir de toutes les autres adresses IP, y compris dans Azure.	AuditIfNotExists, Désactivé	1.0.2
Le point de terminaison privé doit être activé pour les serveurs MySQL	Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure Database pour MySQL privée. Configurez une connexion de point de terminaison privé pour autoriser l’accès uniquement au trafic provenant de réseaux connus et empêcher l’accès à partir de toutes les autres adresses IP, y compris dans Azure.	AuditIfNotExists, Désactivé	1.0.2
Le point de terminaison privé doit être activé pour les serveurs PostgreSQL	Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure Database pour PostgreSQL privée. Configurez une connexion de point de terminaison privé pour autoriser l’accès uniquement au trafic provenant de réseaux connus et empêcher l’accès à partir de toutes les autres adresses IP, y compris dans Azure.	AuditIfNotExists, Désactivé	1.0.2
L’accès au réseau public sur Azure SQL Database doit être désactivé	Le fait de désactiver la propriété d’accès au réseau public permet d’améliorer la sécurité puisque votre base de données Azure SQL n’est accessible qu’à partir d’un point de terminaison privé. Cette configuration interdit toutes les connexions visées par des règles de pare-feu basées sur l’adresse IP ou le réseau virtuel.	Audit, Refuser, Désactivé	1.1.0
L’accès au réseau public doit être désactivé pour les serveurs MariaDB	Désactivez la propriété d’accès au réseau public pour améliorer la sécurité et vous assurer que votre compte Azure Database for MariaDB n’est accessible qu’à partir d’un point de terminaison privé. Cette configuration désactive strictement l’accès à partir de tout espace d’adressage public en dehors de la plage d’adresses IP Azure, et refuse toutes les connexions visées par des règles de pare-feu basées sur l’adresse IP ou le réseau virtuel.	Audit, Refuser, Désactivé	2.0.0
L’accès au réseau public doit être désactivé pour les serveurs MySQL	Désactivez la propriété d’accès au réseau public pour améliorer la sécurité et vous assurer que votre compte Azure Database pour MySQL n’est accessible qu’à partir d’un point de terminaison privé. Cette configuration désactive strictement l’accès à partir de tout espace d’adressage public en dehors de la plage d’adresses IP Azure, et refuse toutes les connexions visées par des règles de pare-feu basées sur l’adresse IP ou le réseau virtuel.	Audit, Refuser, Désactivé	2.0.0
L’accès au réseau public doit être désactivé pour les serveurs PostgreSQL	Désactivez la propriété d’accès au réseau public pour améliorer la sécurité et vous assurer que votre compte Azure Database pour PostgreSQL n’est accessible qu’à partir d’un point de terminaison privé. Cette configuration désactive l’accès à partir de tout espace d’adressage public en dehors de la plage d’adresses IP Azure, et refuse toutes les connexions visées par des règles de pare-feu basées sur l’adresse IP ou le réseau virtuel.	Audit, Refuser, Désactivé	2.0.1
Les comptes de stockage doivent limiter l’accès réseau	L’accès réseau aux comptes de stockage doit être limité. Configurez les règles du réseau de telle manière que seules les applications des réseaux autorisés puissent accéder au compte de stockage. Pour autoriser les connexions de clients Internet ou locaux spécifiques, l’accès au trafic peut être autorisé à partir de réseaux virtuels Azure spécifiques ou vers des plages d’adresses IP Internet publiques.	Audit, Refuser, Désactivé	1.1.1
Les comptes de stockage doivent utiliser des règles de réseau virtuel pour restreindre l’accès au réseau	Protégez vos comptes de stockage contre les menaces potentielles en utilisant des règles de réseau virtuel comme méthode préférée au lieu du filtrage basé sur IP. La désactivation du filtrage basé sur IP empêche les IP publiques d’accéder à vos comptes de stockage.	Audit, Refuser, Désactivé	1.0.1
Les comptes de stockage doivent utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre compte de stockage, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/azureprivatelinkoverview	AuditIfNotExists, Désactivé	2.0.0
les sous-réseaux doivent être associés à un groupe de sécurité réseau	Protégez votre sous-réseau contre les menaces potentielles en y limitant l’accès avec un groupe de sécurité réseau (NSG). Les NSG contiennent une liste de règles de liste de contrôle d’accès (ACL) qui autorisent ou refusent le trafic réseau vers votre sous-réseau.	AuditIfNotExists, Désactivé	3.0.0
Les modèles VM Image Builder doivent utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à vos ressources de création VM Image Builder, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet.	Audit, Désactivé, Refus	1.1.0
Le pare-feu d’applications web (WAF) doit être activé pour Application Gateway	Déployez Azure Web Application Firewall (WAF) devant les applications web publiques pour bénéficier d’un contrôle supplémentaire du trafic entrant. Web Application Firewall (WAF) offre une protection centralisée de vos applications web contre les codes malveillants exploitant une faille de sécurité et les vulnérabilités telles que les injections de code SQL, le scripting inter-site, les exécutions de fichiers locales et à distance. Vous pouvez également restreindre l’accès à vos applications web par pays, plages d’adresses IP et autres paramètres http(s) par le biais de règles personnalisées.	Audit, Refuser, Désactivé	2.0.0

Refuser le trafic des communications réseau par défaut et autoriser le trafic des communications réseau par exception (c’est-à-dire, tout refuser, autoriser par exception).

ID : NIST SP 800-171 R2 3.13.6 Propriété : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
[Préversion] : L’ensemble du trafic Internet doit transiter par votre Pare-feu Azure déployé	Azure Security Center a détecté que certains de vos sous-réseaux ne sont pas protégés par un pare-feu de nouvelle génération. Protégez vos sous-réseaux contre les menaces potentielles en limitant leur accès avec le pare-feu Azure ou un pare-feu de nouvelle génération pris en charge	AuditIfNotExists, Désactivé	3.0.0-preview
[Préversion] : L’accès public au compte de stockage doit être interdit	L’accès en lecture public anonyme aux conteneurs et aux blobs dans Stockage Azure est un moyen pratique de partager des données, mais peut présenter des risques pour la sécurité. Pour éviter les violations de données provoquées par un accès anonyme non souhaité, Microsoft recommande d’empêcher l’accès public à un compte de stockage, sauf si votre scénario l’exige.	audit, Audit, refus, Refus, désactivé, Désactivé	3.1.0-preview
Les recommandations de renforcement de réseau adaptatif doivent être appliquées sur les machines virtuelles accessibles à partir d’Internet	Azure Security Center analyse les tendances du trafic des machines virtuelles accessibles sur Internet et fournit des recommandations sur les règles de groupe de sécurité réseau à utiliser pour réduire la surface d’attaque potentielle	AuditIfNotExists, Désactivé	3.0.0
Tous les ports réseau doivent être restreints sur les groupes de sécurité réseau associés à votre machine virtuelle	Azure Security Center a identifié qu’une partie des règles de trafic entrant de vos groupes de sécurité réseau est trop permissive. Les règles de trafic entrant ne doivent pas autoriser l’accès à partir des plages « Tout » ou « Internet ». Cela peut permettre aux attaquants de cibler vos ressources.	AuditIfNotExists, Désactivé	3.0.0
Des plages d’adresses IP autorisées doivent être définies sur les services Kubernetes	Limitez l’accès à l’API Gestion des services Kubernetes en n’accordant l’accès à l’API qu’à des adresses IP de plages spécifiques. Nous vous recommandons de limiter l’accès aux plages d’adresses IP autorisées afin d’être sûr que seules les applications des réseaux autorisés puissent accéder au cluster.	Audit, Désactivé	2.0.1
Les ressources Azure AI Services doivent limiter l’accès réseau	En limitant l’accès réseau, vous pouvez vous assurer que seuls les réseaux autorisés peuvent accéder au service. Pour ce faire, configurez des règles réseau afin que seules les applications provenant de réseaux autorisés puissent accéder au service Azure AI.	Audit, Refuser, Désactivé	3.2.0
Les services Recherche cognitive Azure doivent désactiver l’accès réseau public	La désactivation de l’accès au réseau public améliore la sécurité en s’assurant que votre service Recherche cognitive Azure n’est pas exposé sur l’Internet public. La création de points de terminaison privés peut limiter l’exposition de votre service de recherche. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/azure-cognitive-search/inbound-private-endpoints.	Audit, Refuser, Désactivé	1.0.0
Les comptes Azure Cosmos DB doivent avoir des règles de pare-feu	Les règles de pare-feu doivent être définies dans vos comptes Azure Cosmos DB pour empêcher le trafic provenant de sources non autorisées. Les comptes qui possèdent au moins une règle IP définie avec le filtre de réseau virtuel activé sont considérés comme conformes. Les comptes qui désactivent l’accès public sont également jugés conformes.	Audit, Refuser, Désactivé	2.0.0
Azure Key Vault doit avoir le pare-feu activé	Activez le pare-feu du coffre de clés pour que le coffre de clés ne soit pas accessible par défaut aux adresses IP publiques. Vous pouvez éventuellement configurer des plages d’adresses IP spécifiques pour limiter l’accès à ces réseaux. Plus d’informations sur : https://docs.microsoft.com/azure/key-vault/general/network-security	Audit, Refuser, Désactivé	3.2.1
Azure Web Application Firewall doit être activé pour les points d’entrée Azure Front Door	Déployez Azure Web Application Firewall (WAF) devant les applications web publiques pour bénéficier d’un contrôle supplémentaire du trafic entrant. Web Application Firewall (WAF) offre une protection centralisée de vos applications web contre les codes malveillants exploitant une faille de sécurité et les vulnérabilités telles que les injections de code SQL, le scripting inter-site, les exécutions de fichiers locales et à distance. Vous pouvez également restreindre l’accès à vos applications web par pays, plages d’adresses IP et autres paramètres http(s) par le biais de règles personnalisées.	Audit, Refuser, Désactivé	1.0.2
Les comptes Cognitive Services doivent désactiver l’accès au réseau public	Pour améliorer la sécurité des comptes Cognitive Services, vérifiez qu’elle n’est pas exposée à l’Internet public et qu’elle est accessible seulement à partir d’un point de terminaison privé. Désactivez la propriété d’accès réseau public, comme décrit dans https://go.microsoft.com/fwlink/?linkid=2129800. Cette option désactive l’accès à partir de tout espace d’adressage public situé en dehors de la plage d’adresses IP Azure, et refuse toutes les connexions qui correspondent aux règles de pare-feu basées sur des adresses IP ou un réseau virtuel. Cette configuration réduit les risques de fuite de données.	Audit, Refuser, Désactivé	3.0.1
Les registres de conteneurs ne doivent pas autoriser un accès réseau non restreint	Par défaut, les registres de conteneurs Azure acceptent les connexions via Internet à partir d’hôtes situés sur n’importe quel réseau. Pour protéger vos registres des menaces potentielles, autorisez l’accès uniquement à partir de points de terminaison privés, d’adresses ou de plages d’adresses IP publiques spécifiques. Si aucune règle réseau n’est configurée pour votre registre, celui-ci apparaît dans les ressources non saines. Découvrez plus en détail les règles réseau de Container Registry ici : https://aka.ms/acr/privatelink,https://aka.ms/acr/portal/public-network et https://aka.ms/acr/vnet.	Audit, Refuser, Désactivé	2.0.0
Les machines virtuelles accessibles à partir d’Internet doivent être protégées avec des groupes de sécurité réseau	Protégez vos machines virtuelles contre les menaces potentielles en limitant leur accès avec des groupes de sécurité réseau (NSG). Pour en savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau, consultez https://aka.ms/nsg-doc.	AuditIfNotExists, Désactivé	3.0.0
Les ports de gestion des machines virtuelles doivent être protégés par un contrôle d’accès réseau juste-à-temps	L’éventuel accès juste-à-temps (JIT) au réseau sera supervisé par Azure Security Center en tant que recommandation	AuditIfNotExists, Désactivé	3.0.0
Les ports de gestion doivent être fermés sur vos machines virtuelles	Les ports de gestion à distance ouverts exposent votre machine virtuelle à un niveau de risque élevé des attaques basées sur Internet. Ces attaques tentent d’attaquer par force brute les informations d’identification afin d’obtenir un accès administrateur à l’ordinateur.	AuditIfNotExists, Désactivé	3.0.0
Les machines virtuelles non connectées à Internet doivent être protégées avec des groupes de sécurité réseau	Protégez vos machines virtuelles non connectées à Internet contre les menaces potentielles en limitant l’accès avec des groupes de sécurité réseau (NSG). Pour en savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau, consultez https://aka.ms/nsg-doc.	AuditIfNotExists, Désactivé	3.0.0
L’accès au réseau public sur Azure SQL Database doit être désactivé	Le fait de désactiver la propriété d’accès au réseau public permet d’améliorer la sécurité puisque votre base de données Azure SQL n’est accessible qu’à partir d’un point de terminaison privé. Cette configuration interdit toutes les connexions visées par des règles de pare-feu basées sur l’adresse IP ou le réseau virtuel.	Audit, Refuser, Désactivé	1.1.0
L’accès au réseau public doit être désactivé pour les serveurs MariaDB	Désactivez la propriété d’accès au réseau public pour améliorer la sécurité et vous assurer que votre compte Azure Database for MariaDB n’est accessible qu’à partir d’un point de terminaison privé. Cette configuration désactive strictement l’accès à partir de tout espace d’adressage public en dehors de la plage d’adresses IP Azure, et refuse toutes les connexions visées par des règles de pare-feu basées sur l’adresse IP ou le réseau virtuel.	Audit, Refuser, Désactivé	2.0.0
L’accès au réseau public doit être désactivé pour les serveurs MySQL	Désactivez la propriété d’accès au réseau public pour améliorer la sécurité et vous assurer que votre compte Azure Database pour MySQL n’est accessible qu’à partir d’un point de terminaison privé. Cette configuration désactive strictement l’accès à partir de tout espace d’adressage public en dehors de la plage d’adresses IP Azure, et refuse toutes les connexions visées par des règles de pare-feu basées sur l’adresse IP ou le réseau virtuel.	Audit, Refuser, Désactivé	2.0.0
L’accès au réseau public doit être désactivé pour les serveurs PostgreSQL	Désactivez la propriété d’accès au réseau public pour améliorer la sécurité et vous assurer que votre compte Azure Database pour PostgreSQL n’est accessible qu’à partir d’un point de terminaison privé. Cette configuration désactive l’accès à partir de tout espace d’adressage public en dehors de la plage d’adresses IP Azure, et refuse toutes les connexions visées par des règles de pare-feu basées sur l’adresse IP ou le réseau virtuel.	Audit, Refuser, Désactivé	2.0.1
Les comptes de stockage doivent limiter l’accès réseau	L’accès réseau aux comptes de stockage doit être limité. Configurez les règles du réseau de telle manière que seules les applications des réseaux autorisés puissent accéder au compte de stockage. Pour autoriser les connexions de clients Internet ou locaux spécifiques, l’accès au trafic peut être autorisé à partir de réseaux virtuels Azure spécifiques ou vers des plages d’adresses IP Internet publiques.	Audit, Refuser, Désactivé	1.1.1
Les comptes de stockage doivent utiliser des règles de réseau virtuel pour restreindre l’accès au réseau	Protégez vos comptes de stockage contre les menaces potentielles en utilisant des règles de réseau virtuel comme méthode préférée au lieu du filtrage basé sur IP. La désactivation du filtrage basé sur IP empêche les IP publiques d’accéder à vos comptes de stockage.	Audit, Refuser, Désactivé	1.0.1
les sous-réseaux doivent être associés à un groupe de sécurité réseau	Protégez votre sous-réseau contre les menaces potentielles en y limitant l’accès avec un groupe de sécurité réseau (NSG). Les NSG contiennent une liste de règles de liste de contrôle d’accès (ACL) qui autorisent ou refusent le trafic réseau vers votre sous-réseau.	AuditIfNotExists, Désactivé	3.0.0
Le pare-feu d’applications web (WAF) doit être activé pour Application Gateway	Déployez Azure Web Application Firewall (WAF) devant les applications web publiques pour bénéficier d’un contrôle supplémentaire du trafic entrant. Web Application Firewall (WAF) offre une protection centralisée de vos applications web contre les codes malveillants exploitant une faille de sécurité et les vulnérabilités telles que les injections de code SQL, le scripting inter-site, les exécutions de fichiers locales et à distance. Vous pouvez également restreindre l’accès à vos applications web par pays, plages d’adresses IP et autres paramètres http(s) par le biais de règles personnalisées.	Audit, Refuser, Désactivé	2.0.0

Empêchez les appareils distants d'établir simultanément des connexions non distantes avec des systèmes d'organisation, puis de communiquer via une autre connexion aux ressources des réseaux externes (c.-à-d., tunneling fractionné).

ID : NIST SP 800-171 R2 3.13.7 Propriété : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Empêcher le tunneling fractionné pour les appareils distants	CMA_C1632 - Empêcher le tunneling fractionné pour les appareils distants	Manuel, désactivé	1.1.0

Implémenter des mécanismes de chiffrement pour empêcher toute divulgation non autorisée de CUI pendant la transmission, sauf en cas de protection par d’autres dispositifs de protection physique.

ID : NIST SP 800-171 R2 3.13.8 Propriété : Partagé

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Les applications App Service doivent être accessibles uniquement via HTTPS	L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau.	Audit, Désactivé, Refus	4.0.0
Les applications App Service doivent exiger FTPS uniquement	Activer la mise en œuvre de FTPS pour renforcer la sécurité.	AuditIfNotExists, Désactivé	3.0.0
Les applications App Service doivent utiliser la dernière version TLS	Régulièrement, de nouvelles versions sont publiées pour le stockage local de thread (TLS), soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications App Service afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités.	AuditIfNotExists, Désactivé	2.0.1
Les clusters Azure HDInsight doivent utiliser le chiffrement en transit pour chiffrer la communication entre les nœuds de cluster Azure HDInsight	Les données peuvent être falsifiées pendant leur transmission entre les nœuds de cluster Azure HDInsight. L’activation du chiffrement en transit résout les problèmes d’utilisation abusive et de falsification des données pendant leur transmission.	Audit, Refuser, Désactivé	1.0.0
Configurer des stations de travail pour rechercher des certificats numériques	CMA_0073 – Configurer des stations de travail pour rechercher des certificats numériques	Manuel, désactivé	1.1.0
L’application de la connexion SSL doit être activée pour les serveurs de base de données MySQL	La base de données Azure pour MySQL prend en charge la connexion de votre serveur Azure Database pour MySQL aux applications clientes à l’aide de Secure Sockets Layer (SSL). L’application de connexions SSL entre votre serveur de base de données et vos applications clientes vous protège contre les « attaques de l’intercepteur » en chiffrant le flux de données entre le serveur et votre application. Cette configuration garantit que le protocole SSL est toujours activé pour l’accès à votre serveur de base de données.	Audit, Désactivé	1.0.1
L’application de la connexion SSL doit être activée pour les serveurs de base de données PostgreSQL	Azure Database pour PostgreSQL prend en charge la connexion de votre serveur Azure Database pour PostgreSQL aux applications clientes via SSL (Secure Sockets Layer). L’application de connexions SSL entre votre serveur de base de données et vos applications clientes vous protège contre les « attaques de l’intercepteur » en chiffrant le flux de données entre le serveur et votre application. Cette configuration garantit que le protocole SSL est toujours activé pour l’accès à votre serveur de base de données.	Audit, Désactivé	1.0.1
Les applications Function App ne doivent être accessibles que via HTTPS	L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau.	Audit, Désactivé, Refus	5.0.0
Les applications de fonction doivent exiger FTPS uniquement	Activer la mise en œuvre de FTPS pour renforcer la sécurité.	AuditIfNotExists, Désactivé	3.0.0
Les applications de fonctions doivent utiliser la dernière version TLS	Régulièrement, de nouvelles versions sont publiées pour le stockage local de thread (TLS), soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications de fonction afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités.	AuditIfNotExists, Désactivé	2.0.1
Les clusters Kubernetes doivent être accessibles uniquement par le biais de HTTPS	L’utilisation de HTTPS garantit l’authentification et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. Cette capacité est actuellement en disponibilité générale pour Kubernetes Service (AKS) et en préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc	audit, Audit, refus, Refus, désactivé, Désactivé	8.1.0
Seules les connexions sécurisées à votre instance Azure Cache pour Redis doivent être activées	Auditer l’activation des connexions établies uniquement par le biais de SSL au cache Azure pour Redis. L'utilisation de connexions sécurisées garantit l'authentification entre le serveur et le service et protège les données en transit contre les attaques de la couche réseau (attaque de l'intercepteur ou « man-in-the-middle », écoute clandestine, détournement de session).	Audit, Refuser, Désactivé	1.0.0
Protéger les données en transit à l’aide du chiffrement	CMA_0403 – Protéger les données en transit à l’aide du chiffrement	Manuel, désactivé	1.1.0
Protéger les mots de passe avec le chiffrement	CMA_0408 – Protéger les mots de passe avec le chiffrement	Manuel, désactivé	1.1.0
La sécurisation du transfert vers des comptes de stockage doit être activée	Auditer l’exigence de transfert sécurisé dans votre compte de stockage. L’option de sécurisation du transfert oblige votre compte de stockage à accepter uniquement des requêtes provenant de connexions sécurisées (HTTPS). L’utilisation de HTTPS garantit l’authentification entre le serveur et le service et protège les données en transit contre les attaques de la couche réseau (attaque de l’intercepteur ou « man-in-the-middle », écoute clandestine, détournement de session)	Audit, Refuser, Désactivé	2.0.0
Les machines Windows doivent être configurées de façon à utiliser des protocoles de communication sécurisés	Pour protéger la confidentialité des informations communiquées sur Internet, vos machines doivent utiliser la dernière version du protocole de chiffrement standard, TLS (Transport Layer Security). TLS sécurise les communications sur un réseau en chiffrant une connexion entre les machines.	AuditIfNotExists, Désactivé	4.1.1

Arrêtez les connexions réseau associées aux sessions de communication à la fin des sessions ou après une période d'inactivité définie.

ID : NIST SP 800-171 R2 3.13.9 Propriété : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Réauthentifier ou mettre fin à une session utilisateur	CMA_0421 - Réauthentifier ou mettre fin à une session utilisateur	Manuel, désactivé	1.1.0

Intégrité du système et des informations

Identifier, signaler et corriger les failles système en temps voulu.

ID : NIST SP 800-171 R2 3.14.1 Propriété : Partagé

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Une solution d’évaluation des vulnérabilités doit être activée sur vos machines virtuelles	Audite les machines virtuelles pour détecter si elles exécutent une solution d’évaluation des vulnérabilités prise en charge. L’identification et l’analyse des vulnérabilités constituent un composant fondamental de chaque programme de sécurité et d’évaluation des cyber-risques. Le niveau tarifaire Standard d’Azure Security Center comprend l’analyse des vulnérabilités de vos machines virtuelles sans coût supplémentaire. De plus, Security Center peut déployer cet outil automatiquement pour vous.	AuditIfNotExists, Désactivé	3.0.0
Les applications App Service doivent utiliser la dernière « version HTTP »	Régulièrement, de nouvelles versions sont publiées pour HTTP, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. L’utilisation de la version de HTTP la plus récente est recommandée pour les applications web afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités.	AuditIfNotExists, Désactivé	4.0.0
Azure Defender pour App Service doit être activé	Azure Defender pour App Service tire parti de l’envergure du cloud et de la visibilité dont Azure bénéficie en tant que fournisseur de cloud pour superviser les attaques d’applications web courantes.	AuditIfNotExists, Désactivé	1.0.3
Azure Defender pour les serveurs Azure SQL Database doit être activé	Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles.	AuditIfNotExists, Désactivé	1.0.2
Azure Defender pour Key Vault doit être activé	Azure Defender pour Key Vault fournit une couche de protection supplémentaire et une veille de sécurité qui détecte les tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des comptes Key Vault.	AuditIfNotExists, Désactivé	1.0.3
Azure Defender pour Resource Manager doit être activé	Azure Defender pour Ressource Manager supervise automatiquement toutes les opérations de gestion de ressources dans votre organisation. Azure Defender détecte les menaces et vous alerte sur les activités suspectes. Découvrez-en plus sur les fonctionnalités d’Azure Defender pour Resource Manager sur https://aka.ms/defender-for-resource-manager. L’activation de ce plan Azure Defender entraîne des frais. Découvrez-en plus sur les détails de tarification par région sur la page de tarification de Security Center : https://aka.ms/pricing-security-center.	AuditIfNotExists, Désactivé	1.0.0
Azure Defender pour les serveurs doit être activé	Azure Defender pour les serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs, et génère des recommandations de durcissement, ainsi que des alertes sur les activités suspectes.	AuditIfNotExists, Désactivé	1.0.3
Azure Defender pour les serveurs SQL sur les machines doit être activé	Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles.	AuditIfNotExists, Désactivé	1.0.2
La solution de protection du point de terminaison doit être installée sur les groupes de machines virtuelles identiques	Vérifiez l’existence et l’intégrité d’une solution Endpoint Protection dans vos groupes de machines virtuelles identiques, pour les protéger des menaces et des vulnérabilités.	AuditIfNotExists, Désactivé	3.0.0
Les applications de fonctions doivent utiliser la dernière « version HTTP »	Régulièrement, de nouvelles versions sont publiées pour HTTP, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. L’utilisation de la version de HTTP la plus récente est recommandée pour les applications web afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités.	AuditIfNotExists, Désactivé	4.0.0
Incorporer la correction des défauts dans la gestion de configuration	CMA_C1671 - Incorporer la correction des défauts dans la gestion de configuration	Manuel, désactivé	1.1.0
Les services Kubernetes doivent être mis à niveau vers une version non vulnérable de Kubernetes	Mettez à niveau votre cluster Kubernetes Services vers une version ultérieure de Kubernetes pour le protéger des vulnérabilités connues de votre version Kubernetes actuelle. La vulnérabilité CVE-2019-9946 a été corrigée dans Kubernetes versions 1.11.9+, 1.12.7+, 1.13.5+ et 1.14.0+	Audit, Désactivé	1.0.2
Microsoft Defender pour les conteneurs doit être activé	Microsoft Defender pour les conteneurs fournit des protections renforcées, d’évaluation des vulnérabilités et d’exécution pour vos environnements Kubernetes Azure, hybrides et multiclouds.	AuditIfNotExists, Désactivé	1.0.0
Microsoft Defender pour le stockage doit être activé	Microsoft Defender pour le stockage détecte les menaces potentielles pour vos comptes de stockage. Il permet d’éviter les trois impacts majeurs sur vos données et votre charge de travail : les chargements de fichiers malveillants, l’exfiltration de données sensibles et l’altération des données. Le nouveau plan Defender pour le stockage inclut l’analyse des programmes malveillants et la détection des menaces de données sensibles. Ce plan fournit également une structure tarifaire prévisible (par compte de stockage) pour contrôler la couverture et les coûts.	AuditIfNotExists, Désactivé	1.0.0
Superviser les agents Endpoint Protection manquants dans Azure Security Center	Les serveurs sans agent Endpoint Protection installé seront supervisés par Azure Security Center en tant que recommandation	AuditIfNotExists, Désactivé	3.0.0
Effectuer des analyses de vulnérabilité	CMA_0393 – Effectuer des analyses de vulnérabilité	Manuel, désactivé	1.1.0
Corriger les défauts du système d’information	CMA_0427 – Corriger les défauts du système d’information	Manuel, désactivé	1.1.0
Les résultats des vulnérabilités des bases de données SQL doivent être résolus	Supervisez les résultats de l’analyse des vulnérabilités et les recommandations sur la correction des vulnérabilités liées aux bases de données.	AuditIfNotExists, Désactivé	4.1.0
Les mises à jour système sur les groupes de machines virtuelles identiques doivent être installées	Vérifiez si des mises à jour de sécurité système et des mises à jour critiques sont manquantes et doivent être installées pour assurer la sécurité de vos groupes de machines virtuelles identiques Windows et Linux.	AuditIfNotExists, Désactivé	3.0.0
Les mises à jour système doivent être installées sur vos machines	Les mises à jour système de sécurité manquantes sur vos serveurs seront supervisées par Azure Security Center en tant que recommandation	AuditIfNotExists, Désactivé	4.0.0
Les vulnérabilités dans la configuration de la sécurité sur vos machines doivent être corrigées	Les serveurs qui ne respectent pas la base de référence configurée seront supervisés par Azure Security Center en tant que recommandation	AuditIfNotExists, Désactivé	3.1.0
Les vulnérabilités dans la configuration de la sécurité de vos groupes de machines virtuelles identiques doivent être corrigées	Auditez les vulnérabilités de système d’exploitation dans vos groupes de machines virtuelles identiques pour les protéger des attaques.	AuditIfNotExists, Désactivé	3.0.0
Windows Defender Exploit Guard doit être activé sur vos machines	Windows Defender Exploit Guard utilise l’agent de configuration d’invité Azure Policy. Windows Defender Exploit Guard compte quatre composants conçus pour verrouiller les appareils afin de les protéger contre un vaste éventail de vecteurs d’attaque et comportements de blocage couramment utilisés par les programmes malveillants, tout en permettant aux entreprises de trouver un juste équilibre entre sécurité et productivité (Windows uniquement).	AuditIfNotExists, Désactivé	2.0.0

Assurer la protection contre le code malveillant à des emplacements désignés au sein des systèmes de l’organisation.

ID : NIST SP 800-171 R2 3.14.2 Propriété : Partagé

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Azure Defender pour App Service doit être activé	Azure Defender pour App Service tire parti de l’envergure du cloud et de la visibilité dont Azure bénéficie en tant que fournisseur de cloud pour superviser les attaques d’applications web courantes.	AuditIfNotExists, Désactivé	1.0.3
Azure Defender pour les serveurs Azure SQL Database doit être activé	Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles.	AuditIfNotExists, Désactivé	1.0.2
Azure Defender pour Key Vault doit être activé	Azure Defender pour Key Vault fournit une couche de protection supplémentaire et une veille de sécurité qui détecte les tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des comptes Key Vault.	AuditIfNotExists, Désactivé	1.0.3
Azure Defender pour Resource Manager doit être activé	Azure Defender pour Ressource Manager supervise automatiquement toutes les opérations de gestion de ressources dans votre organisation. Azure Defender détecte les menaces et vous alerte sur les activités suspectes. Découvrez-en plus sur les fonctionnalités d’Azure Defender pour Resource Manager sur https://aka.ms/defender-for-resource-manager. L’activation de ce plan Azure Defender entraîne des frais. Découvrez-en plus sur les détails de tarification par région sur la page de tarification de Security Center : https://aka.ms/pricing-security-center.	AuditIfNotExists, Désactivé	1.0.0
Azure Defender pour les serveurs doit être activé	Azure Defender pour les serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs, et génère des recommandations de durcissement, ainsi que des alertes sur les activités suspectes.	AuditIfNotExists, Désactivé	1.0.3
Azure Defender pour les serveurs SQL sur les machines doit être activé	Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles.	AuditIfNotExists, Désactivé	1.0.2
Bloque les processus non approuvés et non signés qui s’exécutent par USB	CMA_0050 – Bloquer les processus non signés et non approuvés qui s'exécutent à partir d'un lecteur USB	Manuel, désactivé	1.1.0
La solution de protection du point de terminaison doit être installée sur les groupes de machines virtuelles identiques	Vérifiez l’existence et l’intégrité d’une solution Endpoint Protection dans vos groupes de machines virtuelles identiques, pour les protéger des menaces et des vulnérabilités.	AuditIfNotExists, Désactivé	3.0.0
Gérer les passerelles	CMA_0363 – Gérer les passerelles	Manuel, désactivé	1.1.0
Microsoft Antimalware pour Azure doit être configuré pour mettre à jour automatiquement les signatures de protection	Cette stratégie permet d’effectuer un audit de toutes les machines virtuelles Windows non configurées avec la mise à jour automatique des signatures de protection de Microsoft Antimalware.	AuditIfNotExists, Désactivé	1.0.0
Microsoft Defender pour les conteneurs doit être activé	Microsoft Defender pour les conteneurs fournit des protections renforcées, d’évaluation des vulnérabilités et d’exécution pour vos environnements Kubernetes Azure, hybrides et multiclouds.	AuditIfNotExists, Désactivé	1.0.0
Microsoft Defender pour le stockage doit être activé	Microsoft Defender pour le stockage détecte les menaces potentielles pour vos comptes de stockage. Il permet d’éviter les trois impacts majeurs sur vos données et votre charge de travail : les chargements de fichiers malveillants, l’exfiltration de données sensibles et l’altération des données. Le nouveau plan Defender pour le stockage inclut l’analyse des programmes malveillants et la détection des menaces de données sensibles. Ce plan fournit également une structure tarifaire prévisible (par compte de stockage) pour contrôler la couverture et les coûts.	AuditIfNotExists, Désactivé	1.0.0
L’extension Microsoft IaaSAntimalware doit être déployée sur des serveurs Windows	Cette stratégie permet d’auditer toute machine virtuelle Windows Server sans extension Microsoft IaaSAntimalware déployée.	AuditIfNotExists, Désactivé	1.1.0
Superviser les agents Endpoint Protection manquants dans Azure Security Center	Les serveurs sans agent Endpoint Protection installé seront supervisés par Azure Security Center en tant que recommandation	AuditIfNotExists, Désactivé	3.0.0
Effectuer une analyse des tendances sur les menaces	CMA_0389 – Effectuer une analyse des tendances sur les menaces	Manuel, désactivé	1.1.0
Effectuer des analyses de vulnérabilité	CMA_0393 – Effectuer des analyses de vulnérabilité	Manuel, désactivé	1.1.0
Examiner le rapport hebdomadaire sur les détections de programmes malveillants	CMA_0475 – Examiner le rapport hebdomadaire sur les détections de programmes malveillants	Manuel, désactivé	1.1.0
Passer en revue l’état de la protection contre les menaces chaque semaine	CMA_0479 – Passer en revue l’état de la protection contre les menaces chaque semaine	Manuel, désactivé	1.1.0
Mettre à jour les définitions de l’antivirus	CMA_0517 – Mettre à jour les définitions de l’antivirus	Manuel, désactivé	1.1.0
Windows Defender Exploit Guard doit être activé sur vos machines	Windows Defender Exploit Guard utilise l’agent de configuration d’invité Azure Policy. Windows Defender Exploit Guard compte quatre composants conçus pour verrouiller les appareils afin de les protéger contre un vaste éventail de vecteurs d’attaque et comportements de blocage couramment utilisés par les programmes malveillants, tout en permettant aux entreprises de trouver un juste équilibre entre sécurité et productivité (Windows uniquement).	AuditIfNotExists, Désactivé	2.0.0

Surveillez les alertes et les avis de sécurité système, puis prenez les mesures appropriées.

ID : NIST SP 800-171 R2 3.14.3 Propriété : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Azure Defender pour App Service doit être activé	Azure Defender pour App Service tire parti de l’envergure du cloud et de la visibilité dont Azure bénéficie en tant que fournisseur de cloud pour superviser les attaques d’applications web courantes.	AuditIfNotExists, Désactivé	1.0.3
Azure Defender pour les serveurs Azure SQL Database doit être activé	Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles.	AuditIfNotExists, Désactivé	1.0.2
Azure Defender pour Key Vault doit être activé	Azure Defender pour Key Vault fournit une couche de protection supplémentaire et une veille de sécurité qui détecte les tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des comptes Key Vault.	AuditIfNotExists, Désactivé	1.0.3
Azure Defender pour Resource Manager doit être activé	Azure Defender pour Ressource Manager supervise automatiquement toutes les opérations de gestion de ressources dans votre organisation. Azure Defender détecte les menaces et vous alerte sur les activités suspectes. Découvrez-en plus sur les fonctionnalités d’Azure Defender pour Resource Manager sur https://aka.ms/defender-for-resource-manager. L’activation de ce plan Azure Defender entraîne des frais. Découvrez-en plus sur les détails de tarification par région sur la page de tarification de Security Center : https://aka.ms/pricing-security-center.	AuditIfNotExists, Désactivé	1.0.0
Azure Defender pour les serveurs doit être activé	Azure Defender pour les serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs, et génère des recommandations de durcissement, ainsi que des alertes sur les activités suspectes.	AuditIfNotExists, Désactivé	1.0.3
Azure Defender pour les serveurs SQL sur les machines doit être activé	Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles.	AuditIfNotExists, Désactivé	1.0.2
Diffuser les alertes de sécurité au personnel	CMA_C1705 - Diffuser les alertes de sécurité au personnel	Manuel, désactivé	1.1.0
La notification par e-mail pour les alertes à gravité élevée doit être activée	Pour informer les personnes concernées de votre organisation d’une violation de sécurité potentielle dans l’un de vos abonnements, activez les notifications par e-mail pour les alertes à gravité élevée dans Security Center.	AuditIfNotExists, Désactivé	1.0.1
La notification par e-mail au propriétaire de l’abonnement pour les alertes à gravité élevée doit être activée	Pour informer les propriétaires d’abonnement d’une violation de sécurité potentielle dans leur abonnement, activez l’envoi de notifications par e-mail à ces propriétaires pour les alertes à gravité élevée dans Security Center.	AuditIfNotExists, Désactivé	2.0.0
Établir un programme de renouvellement sur les menaces	CMA_0260 - Établir un programme de renseignement sur les menaces	Manuel, désactivé	1.1.0
Implémenter des directives de sécurité	CMA_C1706 - Implémenter des directives de sécurité	Manuel, désactivé	1.1.0
Microsoft Defender pour les conteneurs doit être activé	Microsoft Defender pour les conteneurs fournit des protections renforcées, d’évaluation des vulnérabilités et d’exécution pour vos environnements Kubernetes Azure, hybrides et multiclouds.	AuditIfNotExists, Désactivé	1.0.0
Microsoft Defender pour le stockage doit être activé	Microsoft Defender pour le stockage détecte les menaces potentielles pour vos comptes de stockage. Il permet d’éviter les trois impacts majeurs sur vos données et votre charge de travail : les chargements de fichiers malveillants, l’exfiltration de données sensibles et l’altération des données. Le nouveau plan Defender pour le stockage inclut l’analyse des programmes malveillants et la détection des menaces de données sensibles. Ce plan fournit également une structure tarifaire prévisible (par compte de stockage) pour contrôler la couverture et les coûts.	AuditIfNotExists, Désactivé	1.0.0
Superviser les agents Endpoint Protection manquants dans Azure Security Center	Les serveurs sans agent Endpoint Protection installé seront supervisés par Azure Security Center en tant que recommandation	AuditIfNotExists, Désactivé	3.0.0
Les abonnements doivent avoir l’adresse e-mail d’un contact pour le signalement des problèmes de sécurité	Pour informer les personnes concernées de votre organisation d’une violation de sécurité potentielle dans l’un de vos abonnements, définissez un contact de sécurité qui recevra des notifications par e-mail dans Security Center.	AuditIfNotExists, Désactivé	1.0.1

Mettre à jour les mécanismes de protection contre le code malveillant lorsque de nouvelles versions sont disponibles.

ID : NIST SP 800-171 R2 3.14.4 Propriété : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Bloque les processus non approuvés et non signés qui s’exécutent par USB	CMA_0050 – Bloquer les processus non signés et non approuvés qui s'exécutent à partir d'un lecteur USB	Manuel, désactivé	1.1.0
La solution de protection du point de terminaison doit être installée sur les groupes de machines virtuelles identiques	Vérifiez l’existence et l’intégrité d’une solution Endpoint Protection dans vos groupes de machines virtuelles identiques, pour les protéger des menaces et des vulnérabilités.	AuditIfNotExists, Désactivé	3.0.0
Gérer les passerelles	CMA_0363 – Gérer les passerelles	Manuel, désactivé	1.1.0
Microsoft Antimalware pour Azure doit être configuré pour mettre à jour automatiquement les signatures de protection	Cette stratégie permet d’effectuer un audit de toutes les machines virtuelles Windows non configurées avec la mise à jour automatique des signatures de protection de Microsoft Antimalware.	AuditIfNotExists, Désactivé	1.0.0
L’extension Microsoft IaaSAntimalware doit être déployée sur des serveurs Windows	Cette stratégie permet d’auditer toute machine virtuelle Windows Server sans extension Microsoft IaaSAntimalware déployée.	AuditIfNotExists, Désactivé	1.1.0
Superviser les agents Endpoint Protection manquants dans Azure Security Center	Les serveurs sans agent Endpoint Protection installé seront supervisés par Azure Security Center en tant que recommandation	AuditIfNotExists, Désactivé	3.0.0
Effectuer une analyse des tendances sur les menaces	CMA_0389 – Effectuer une analyse des tendances sur les menaces	Manuel, désactivé	1.1.0
Effectuer des analyses de vulnérabilité	CMA_0393 – Effectuer des analyses de vulnérabilité	Manuel, désactivé	1.1.0
Examiner le rapport hebdomadaire sur les détections de programmes malveillants	CMA_0475 – Examiner le rapport hebdomadaire sur les détections de programmes malveillants	Manuel, désactivé	1.1.0
Mettre à jour les définitions de l’antivirus	CMA_0517 – Mettre à jour les définitions de l’antivirus	Manuel, désactivé	1.1.0
Windows Defender Exploit Guard doit être activé sur vos machines	Windows Defender Exploit Guard utilise l’agent de configuration d’invité Azure Policy. Windows Defender Exploit Guard compte quatre composants conçus pour verrouiller les appareils afin de les protéger contre un vaste éventail de vecteurs d’attaque et comportements de blocage couramment utilisés par les programmes malveillants, tout en permettant aux entreprises de trouver un juste équilibre entre sécurité et productivité (Windows uniquement).	AuditIfNotExists, Désactivé	2.0.0

Effectuez des analyses périodiques des systèmes d'organisation et des analyses en temps réel des fichiers provenant de sources externes à mesure que les fichiers sont téléchargés, ouverts ou exécutés.

ID : NIST SP 800-171 R2 3.14.5 Propriété : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Azure Defender pour les serveurs doit être activé	Azure Defender pour les serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs, et génère des recommandations de durcissement, ainsi que des alertes sur les activités suspectes.	AuditIfNotExists, Désactivé	1.0.3
La solution de protection du point de terminaison doit être installée sur les groupes de machines virtuelles identiques	Vérifiez l’existence et l’intégrité d’une solution Endpoint Protection dans vos groupes de machines virtuelles identiques, pour les protéger des menaces et des vulnérabilités.	AuditIfNotExists, Désactivé	3.0.0
Microsoft Antimalware pour Azure doit être configuré pour mettre à jour automatiquement les signatures de protection	Cette stratégie permet d’effectuer un audit de toutes les machines virtuelles Windows non configurées avec la mise à jour automatique des signatures de protection de Microsoft Antimalware.	AuditIfNotExists, Désactivé	1.0.0
L’extension Microsoft IaaSAntimalware doit être déployée sur des serveurs Windows	Cette stratégie permet d’auditer toute machine virtuelle Windows Server sans extension Microsoft IaaSAntimalware déployée.	AuditIfNotExists, Désactivé	1.1.0
Superviser les agents Endpoint Protection manquants dans Azure Security Center	Les serveurs sans agent Endpoint Protection installé seront supervisés par Azure Security Center en tant que recommandation	AuditIfNotExists, Désactivé	3.0.0
Windows Defender Exploit Guard doit être activé sur vos machines	Windows Defender Exploit Guard utilise l’agent de configuration d’invité Azure Policy. Windows Defender Exploit Guard compte quatre composants conçus pour verrouiller les appareils afin de les protéger contre un vaste éventail de vecteurs d’attaque et comportements de blocage couramment utilisés par les programmes malveillants, tout en permettant aux entreprises de trouver un juste équilibre entre sécurité et productivité (Windows uniquement).	AuditIfNotExists, Désactivé	2.0.0

Superviser les systèmes de l’organisation, notamment le trafic des communications entrantes et sortantes, pour détecter les attaques et les indicateurs d’attaques potentielles.

ID : NIST SP 800-171 R2 3.14.6 Propriété : Partagé

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
[Préversion] : L’ensemble du trafic Internet doit transiter par votre Pare-feu Azure déployé	Azure Security Center a détecté que certains de vos sous-réseaux ne sont pas protégés par un pare-feu de nouvelle génération. Protégez vos sous-réseaux contre les menaces potentielles en limitant leur accès avec le pare-feu Azure ou un pare-feu de nouvelle génération pris en charge	AuditIfNotExists, Désactivé	3.0.0-preview
[Préversion] : l’extension Microsoft Defender pour le cloud doit être installée sur les clusters Kubernetes avec Azure Arc	L’extension Microsoft Defender pour le cloud pour Azure Arc fournit une protection contre les menaces à vos clusters Kubernetes compatibles avec Arc. L’extension collecte les données de tous les nœuds du cluster et les envoie au back-end Azure Defender pour Kubernetes dans le cloud pour une analyse plus approfondie. En savoir plus sur https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc.	AuditIfNotExists, Désactivé	6.0.0-preview
[Préversion] : l’extension Log Analytics doit être installée sur vos machines Linux Azure Arc	Cette stratégie audite les machines Linux Azure Arc si l’extension Log Analytics n’est pas installée.	AuditIfNotExists, Désactivé	1.0.1-preview
[Préversion] : l’extension Log Analytics doit être installée sur vos machines Windows Azure Arc	Cette stratégie audite les machines Windows Azure Arc si l’extension Log Analytics n’est pas installée.	AuditIfNotExists, Désactivé	1.0.1-preview
[Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Linux	Security Center utilise Microsoft Dependency Agent pour collecter les données du trafic réseau sur vos machines virtuelles Azure, afin d’activer des fonctionnalités avancées de protection réseau : visualisation du trafic sur le plan du réseau, recommandations de durcissement de la sécurité réseau et menaces réseau spécifiques.	AuditIfNotExists, Désactivé	1.0.2-preview
[Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Windows	Security Center utilise Microsoft Dependency Agent pour collecter les données du trafic réseau sur vos machines virtuelles Azure, afin d’activer des fonctionnalités avancées de protection réseau : visualisation du trafic sur le plan du réseau, recommandations de durcissement de la sécurité réseau et menaces réseau spécifiques.	AuditIfNotExists, Désactivé	1.0.2-preview
Le provisionnement automatique de l’agent Log Analytics doit être activé sur votre abonnement	Pour superviser les menaces et les vulnérabilités de sécurité, Azure Security Center collecte des données à partir de vos machines virtuelles Azure. Les données sont collectées par l’agent Log Analytics, auparavant appelé Microsoft Monitoring Agent (MMA). Cet agent lit divers journaux d’événements et configurations liés à la sécurité de la machine, puis copie les données dans votre espace de travail Log Analytics à des fins d’analyse. Nous vous recommandons d’activer l’approvisionnement automatique pour déployer automatiquement l’agent sur toutes les machines virtuelles Azure prises en charge et sur toutes celles qui sont créées.	AuditIfNotExists, Désactivé	1.0.1
Azure Defender pour App Service doit être activé	Azure Defender pour App Service tire parti de l’envergure du cloud et de la visibilité dont Azure bénéficie en tant que fournisseur de cloud pour superviser les attaques d’applications web courantes.	AuditIfNotExists, Désactivé	1.0.3
Azure Defender pour les serveurs Azure SQL Database doit être activé	Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles.	AuditIfNotExists, Désactivé	1.0.2
Azure Defender pour Key Vault doit être activé	Azure Defender pour Key Vault fournit une couche de protection supplémentaire et une veille de sécurité qui détecte les tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des comptes Key Vault.	AuditIfNotExists, Désactivé	1.0.3
Azure Defender pour Resource Manager doit être activé	Azure Defender pour Ressource Manager supervise automatiquement toutes les opérations de gestion de ressources dans votre organisation. Azure Defender détecte les menaces et vous alerte sur les activités suspectes. Découvrez-en plus sur les fonctionnalités d’Azure Defender pour Resource Manager sur https://aka.ms/defender-for-resource-manager. L’activation de ce plan Azure Defender entraîne des frais. Découvrez-en plus sur les détails de tarification par région sur la page de tarification de Security Center : https://aka.ms/pricing-security-center.	AuditIfNotExists, Désactivé	1.0.0
Azure Defender pour les serveurs doit être activé	Azure Defender pour les serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs, et génère des recommandations de durcissement, ainsi que des alertes sur les activités suspectes.	AuditIfNotExists, Désactivé	1.0.3
Azure Defender pour les serveurs SQL sur les machines doit être activé	Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles.	AuditIfNotExists, Désactivé	1.0.2
Vous devez activer Azure Defender pour SQL pour les serveurs Azure SQL non protégés	Auditer les serveurs SQL sans Advanced Data Security	AuditIfNotExists, Désactivé	2.0.1
Vous devez activer Azure Defender pour SQL pour les instances SQL Managed Instance non protégées	Auditez chaque instance managée SQL sans Advanced Data Security.	AuditIfNotExists, Désactivé	1.0.2
Détecter les services réseau qui n’ont pas été autorisés ou approuvés	CMA_C1700 – Détecter les services réseau qui n’ont pas été autorisés ou approuvés	Manuel, désactivé	1.1.0
Découvrir tous les indicateurs de compromission	CMA_C1702 - Découvrir tous les indicateurs de compromission	Manuel, désactivé	1.1.0
Documenter les opérations de sécurité	CMA_0202 – Documenter les opérations de sécurité	Manuel, désactivé	1.1.0
La notification par e-mail pour les alertes à gravité élevée doit être activée	Pour informer les personnes concernées de votre organisation d’une violation de sécurité potentielle dans l’un de vos abonnements, activez les notifications par e-mail pour les alertes à gravité élevée dans Security Center.	AuditIfNotExists, Désactivé	1.0.1
La notification par e-mail au propriétaire de l’abonnement pour les alertes à gravité élevée doit être activée	Pour informer les propriétaires d’abonnement d’une violation de sécurité potentielle dans leur abonnement, activez l’envoi de notifications par e-mail à ces propriétaires pour les alertes à gravité élevée dans Security Center.	AuditIfNotExists, Désactivé	2.0.0
L’extension Guest Configuration doit être installée sur vos machines	Pour garantir des configurations sécurisées des paramètres dans l’invité de votre machine, installez l’extension Guest Configuration. Parmi les paramètres dans l’invité qui sont supervisés par l’extension figurent la configuration du système d’exploitation, la présence ou la configuration de l’application et les paramètres d’environnement. Une fois l’installation terminée, les stratégies dans l’invité seront disponibles, par exemple « Windows Exploit Guard doit être activé ». Pour en savoir plus, rendez-vous sur https://aka.ms/gcpol.	AuditIfNotExists, Désactivé	1.0.3
L’agent Log Analytics doit être installé sur votre machine virtuelle pour la supervision Azure Security Center	Cette stratégie audite les machines virtuelles Windows/Linux si l’agent Log Analytics, que Security Center utilise pour superviser les vulnérabilités et les menaces liées à la sécurité, n’est pas installé	AuditIfNotExists, Désactivé	1.0.0
L’agent Log Analytics doit être installé sur vos groupes de machines virtuelles identiques pour la supervision Azure Security Center	Azure Security Center collecte des données à partir de vos machines virtuelles Azure pour surveiller les menaces et vulnérabilités de sécurité.	AuditIfNotExists, Désactivé	1.0.0
Microsoft Defender pour les conteneurs doit être activé	Microsoft Defender pour les conteneurs fournit des protections renforcées, d’évaluation des vulnérabilités et d’exécution pour vos environnements Kubernetes Azure, hybrides et multiclouds.	AuditIfNotExists, Désactivé	1.0.0
Microsoft Defender pour le stockage doit être activé	Microsoft Defender pour le stockage détecte les menaces potentielles pour vos comptes de stockage. Il permet d’éviter les trois impacts majeurs sur vos données et votre charge de travail : les chargements de fichiers malveillants, l’exfiltration de données sensibles et l’altération des données. Le nouveau plan Defender pour le stockage inclut l’analyse des programmes malveillants et la détection des menaces de données sensibles. Ce plan fournit également une structure tarifaire prévisible (par compte de stockage) pour contrôler la couverture et les coûts.	AuditIfNotExists, Désactivé	1.0.0
Network Watcher doit être activé	Network Watcher est un service régional qui vous permet de surveiller et de diagnostiquer l’état au niveau d’un scénario réseau dans, vers et depuis Azure. La surveillance au niveau des scénarios vous permet de diagnostiquer les problèmes avec une vue de bout en bout du réseau. Vous devez créer un groupe de ressources Network Watcher dans chaque région où un réseau virtuel est présent. Une alerte est activée dans le cas où aucun groupe de ressources Network Watcher n’est disponible dans une région donnée.	AuditIfNotExists, Désactivé	3.0.0
Effectuer une analyse des tendances sur les menaces	CMA_0389 – Effectuer une analyse des tendances sur les menaces	Manuel, désactivé	1.1.0
Les abonnements doivent avoir l’adresse e-mail d’un contact pour le signalement des problèmes de sécurité	Pour informer les personnes concernées de votre organisation d’une violation de sécurité potentielle dans l’un de vos abonnements, définissez un contact de sécurité qui recevra des notifications par e-mail dans Security Center.	AuditIfNotExists, Désactivé	1.0.1
Activer les capteurs pour la solution de sécurité de point de terminaison	CMA_0514 – Activer les capteurs pour la solution de sécurité de point de terminaison	Manuel, désactivé	1.1.0
L’extension Guest Configuration des machines virtuelles doit être déployée avec une identité managée attribuée par le système	L’extension Guest Configuration requiert une identité managée affectée par le système. Les machines virtuelles Azure se trouvant dans l’étendue de cette stratégie ne sont pas conformes quand elles disposent de l’extension Guest Configuration mais qu’elles n’ont pas d’identité managée affectée par le système. Pour en savoir plus, voir https://aka.ms/gcpol	AuditIfNotExists, Désactivé	1.0.1

Identifier les utilisations non autorisées des systèmes d’entreprise.

ID : NIST SP 800-171 R2 3.14.7 Propriété : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
[Préversion] : L’ensemble du trafic Internet doit transiter par votre Pare-feu Azure déployé	Azure Security Center a détecté que certains de vos sous-réseaux ne sont pas protégés par un pare-feu de nouvelle génération. Protégez vos sous-réseaux contre les menaces potentielles en limitant leur accès avec le pare-feu Azure ou un pare-feu de nouvelle génération pris en charge	AuditIfNotExists, Désactivé	3.0.0-preview
[Préversion] : l’extension Microsoft Defender pour le cloud doit être installée sur les clusters Kubernetes avec Azure Arc	L’extension Microsoft Defender pour le cloud pour Azure Arc fournit une protection contre les menaces à vos clusters Kubernetes compatibles avec Arc. L’extension collecte les données de tous les nœuds du cluster et les envoie au back-end Azure Defender pour Kubernetes dans le cloud pour une analyse plus approfondie. En savoir plus sur https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc.	AuditIfNotExists, Désactivé	6.0.0-preview
[Préversion] : l’extension Log Analytics doit être installée sur vos machines Linux Azure Arc	Cette stratégie audite les machines Linux Azure Arc si l’extension Log Analytics n’est pas installée.	AuditIfNotExists, Désactivé	1.0.1-preview
[Préversion] : l’extension Log Analytics doit être installée sur vos machines Windows Azure Arc	Cette stratégie audite les machines Windows Azure Arc si l’extension Log Analytics n’est pas installée.	AuditIfNotExists, Désactivé	1.0.1-preview
[Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Linux	Security Center utilise Microsoft Dependency Agent pour collecter les données du trafic réseau sur vos machines virtuelles Azure, afin d’activer des fonctionnalités avancées de protection réseau : visualisation du trafic sur le plan du réseau, recommandations de durcissement de la sécurité réseau et menaces réseau spécifiques.	AuditIfNotExists, Désactivé	1.0.2-preview
[Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Windows	Security Center utilise Microsoft Dependency Agent pour collecter les données du trafic réseau sur vos machines virtuelles Azure, afin d’activer des fonctionnalités avancées de protection réseau : visualisation du trafic sur le plan du réseau, recommandations de durcissement de la sécurité réseau et menaces réseau spécifiques.	AuditIfNotExists, Désactivé	1.0.2-preview
Le provisionnement automatique de l’agent Log Analytics doit être activé sur votre abonnement	Pour superviser les menaces et les vulnérabilités de sécurité, Azure Security Center collecte des données à partir de vos machines virtuelles Azure. Les données sont collectées par l’agent Log Analytics, auparavant appelé Microsoft Monitoring Agent (MMA). Cet agent lit divers journaux d’événements et configurations liés à la sécurité de la machine, puis copie les données dans votre espace de travail Log Analytics à des fins d’analyse. Nous vous recommandons d’activer l’approvisionnement automatique pour déployer automatiquement l’agent sur toutes les machines virtuelles Azure prises en charge et sur toutes celles qui sont créées.	AuditIfNotExists, Désactivé	1.0.1
Azure Defender pour App Service doit être activé	Azure Defender pour App Service tire parti de l’envergure du cloud et de la visibilité dont Azure bénéficie en tant que fournisseur de cloud pour superviser les attaques d’applications web courantes.	AuditIfNotExists, Désactivé	1.0.3
Azure Defender pour les serveurs Azure SQL Database doit être activé	Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles.	AuditIfNotExists, Désactivé	1.0.2
Azure Defender pour Key Vault doit être activé	Azure Defender pour Key Vault fournit une couche de protection supplémentaire et une veille de sécurité qui détecte les tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des comptes Key Vault.	AuditIfNotExists, Désactivé	1.0.3
Azure Defender pour Resource Manager doit être activé	Azure Defender pour Ressource Manager supervise automatiquement toutes les opérations de gestion de ressources dans votre organisation. Azure Defender détecte les menaces et vous alerte sur les activités suspectes. Découvrez-en plus sur les fonctionnalités d’Azure Defender pour Resource Manager sur https://aka.ms/defender-for-resource-manager. L’activation de ce plan Azure Defender entraîne des frais. Découvrez-en plus sur les détails de tarification par région sur la page de tarification de Security Center : https://aka.ms/pricing-security-center.	AuditIfNotExists, Désactivé	1.0.0
Azure Defender pour les serveurs doit être activé	Azure Defender pour les serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs, et génère des recommandations de durcissement, ainsi que des alertes sur les activités suspectes.	AuditIfNotExists, Désactivé	1.0.3
Azure Defender pour les serveurs SQL sur les machines doit être activé	Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles.	AuditIfNotExists, Désactivé	1.0.2
Vous devez activer Azure Defender pour SQL pour les serveurs Azure SQL non protégés	Auditer les serveurs SQL sans Advanced Data Security	AuditIfNotExists, Désactivé	2.0.1
Vous devez activer Azure Defender pour SQL pour les instances SQL Managed Instance non protégées	Auditez chaque instance managée SQL sans Advanced Data Security.	AuditIfNotExists, Désactivé	1.0.2
L’extension Guest Configuration doit être installée sur vos machines	Pour garantir des configurations sécurisées des paramètres dans l’invité de votre machine, installez l’extension Guest Configuration. Parmi les paramètres dans l’invité qui sont supervisés par l’extension figurent la configuration du système d’exploitation, la présence ou la configuration de l’application et les paramètres d’environnement. Une fois l’installation terminée, les stratégies dans l’invité seront disponibles, par exemple « Windows Exploit Guard doit être activé ». Pour en savoir plus, rendez-vous sur https://aka.ms/gcpol.	AuditIfNotExists, Désactivé	1.0.3
L’agent Log Analytics doit être installé sur votre machine virtuelle pour la supervision Azure Security Center	Cette stratégie audite les machines virtuelles Windows/Linux si l’agent Log Analytics, que Security Center utilise pour superviser les vulnérabilités et les menaces liées à la sécurité, n’est pas installé	AuditIfNotExists, Désactivé	1.0.0
L’agent Log Analytics doit être installé sur vos groupes de machines virtuelles identiques pour la supervision Azure Security Center	Azure Security Center collecte des données à partir de vos machines virtuelles Azure pour surveiller les menaces et vulnérabilités de sécurité.	AuditIfNotExists, Désactivé	1.0.0
Microsoft Defender pour les conteneurs doit être activé	Microsoft Defender pour les conteneurs fournit des protections renforcées, d’évaluation des vulnérabilités et d’exécution pour vos environnements Kubernetes Azure, hybrides et multiclouds.	AuditIfNotExists, Désactivé	1.0.0
Microsoft Defender pour le stockage doit être activé	Microsoft Defender pour le stockage détecte les menaces potentielles pour vos comptes de stockage. Il permet d’éviter les trois impacts majeurs sur vos données et votre charge de travail : les chargements de fichiers malveillants, l’exfiltration de données sensibles et l’altération des données. Le nouveau plan Defender pour le stockage inclut l’analyse des programmes malveillants et la détection des menaces de données sensibles. Ce plan fournit également une structure tarifaire prévisible (par compte de stockage) pour contrôler la couverture et les coûts.	AuditIfNotExists, Désactivé	1.0.0
Network Watcher doit être activé	Network Watcher est un service régional qui vous permet de surveiller et de diagnostiquer l’état au niveau d’un scénario réseau dans, vers et depuis Azure. La surveillance au niveau des scénarios vous permet de diagnostiquer les problèmes avec une vue de bout en bout du réseau. Vous devez créer un groupe de ressources Network Watcher dans chaque région où un réseau virtuel est présent. Une alerte est activée dans le cas où aucun groupe de ressources Network Watcher n’est disponible dans une région donnée.	AuditIfNotExists, Désactivé	3.0.0
Effectuer une analyse des tendances sur les menaces	CMA_0389 – Effectuer une analyse des tendances sur les menaces	Manuel, désactivé	1.1.0
L’extension Guest Configuration des machines virtuelles doit être déployée avec une identité managée attribuée par le système	L’extension Guest Configuration requiert une identité managée affectée par le système. Les machines virtuelles Azure se trouvant dans l’étendue de cette stratégie ne sont pas conformes quand elles disposent de l’extension Guest Configuration mais qu’elles n’ont pas d’identité managée affectée par le système. Pour en savoir plus, voir https://aka.ms/gcpol	AuditIfNotExists, Désactivé	1.0.1

Reconnaissance et formation

Assurez-vous que les gestionnaires, les administrateurs de systèmes et les utilisateurs des systèmes organisationnels sont conscients des risques de sécurité associés à leurs activités et des stratégies, normes et procédures applicables liées à la sécurité de ces systèmes.

ID : NIST SP 800-171 R2 3.2.1 Propriété : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Fournir une formation périodique sur la sensibilisation à la sécurité	CMA_C1091 - Fournir une formation périodique sur la sensibilisation à la sécurité	Manuel, désactivé	1.1.0
Fournir une formation sur la sécurité pour les nouveaux utilisateurs	CMA_0419 - Fournir une formation sur la sécurité pour les nouveaux utilisateurs	Manuel, désactivé	1.1.0

Assurez-vous que le personnel est formé pour s'acquitter des tâches et responsabilités qui lui sont attribuées en matière de sécurité des informations.

ID : NIST SP 800-171 R2 3.2.2 Propriété : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Fournir une formation périodique sur la sécurité basée sur les rôles	CMA_C1095 - Fournir une formation périodique sur la sécurité basée sur les rôles	Manuel, désactivé	1.1.0
Fournir une formation sur la sécurité avant de fournir l’accès	CMA_0418 - Fournir une formation sur la sécurité avant de fournir l’accès	Manuel, désactivé	1.1.0

Proposez une formation de sensibilisation à la sécurité pour reconnaître et signaler les indicateurs potentiels de menace interne.

ID : NIST SP 800-171 R2 3.2.3 Propriété : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Implémenter un programme de menaces internes	CMA_C1751 - Implémenter un programme de menaces internes	Manuel, désactivé	1.1.0
Fournir une formation de sensibilisation à la sécurité pour les menaces internes	CMA_0417 – Fournir une formation de sensibilisation à la sécurité pour les menaces internes	Manuel, désactivé	1.1.0

Audit et responsabilité

Créer et conserver les journaux d’audit système et les enregistrements de façon à pouvoir activer la supervision, l’analyse, l’investigation et la création de rapports concernant l’activité système non légale ou non autorisée

ID : NIST SP 800-171 R2 3.3.1 Propriété : Partagé

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
[Préversion] : l’extension Microsoft Defender pour le cloud doit être installée sur les clusters Kubernetes avec Azure Arc	L’extension Microsoft Defender pour le cloud pour Azure Arc fournit une protection contre les menaces à vos clusters Kubernetes compatibles avec Arc. L’extension collecte les données de tous les nœuds du cluster et les envoie au back-end Azure Defender pour Kubernetes dans le cloud pour une analyse plus approfondie. En savoir plus sur https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc.	AuditIfNotExists, Désactivé	6.0.0-preview
[Préversion] : l’extension Log Analytics doit être installée sur vos machines Linux Azure Arc	Cette stratégie audite les machines Linux Azure Arc si l’extension Log Analytics n’est pas installée.	AuditIfNotExists, Désactivé	1.0.1-preview
[Préversion] : l’extension Log Analytics doit être installée sur vos machines Windows Azure Arc	Cette stratégie audite les machines Windows Azure Arc si l’extension Log Analytics n’est pas installée.	AuditIfNotExists, Désactivé	1.0.1-preview
[Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Linux	Security Center utilise Microsoft Dependency Agent pour collecter les données du trafic réseau sur vos machines virtuelles Azure, afin d’activer des fonctionnalités avancées de protection réseau : visualisation du trafic sur le plan du réseau, recommandations de durcissement de la sécurité réseau et menaces réseau spécifiques.	AuditIfNotExists, Désactivé	1.0.2-preview
[Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Windows	Security Center utilise Microsoft Dependency Agent pour collecter les données du trafic réseau sur vos machines virtuelles Azure, afin d’activer des fonctionnalités avancées de protection réseau : visualisation du trafic sur le plan du réseau, recommandations de durcissement de la sécurité réseau et menaces réseau spécifiques.	AuditIfNotExists, Désactivé	1.0.2-preview
Respecter les périodes de rétention définies	CMA_0004 – Respecter les périodes de rétention définies	Manuel, désactivé	1.1.0
Les applications App Service doivent avoir activé les journaux des ressources	Auditez l’activation des journaux de ressources sur l’application. Permet de recréer les pistes d’activité à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau.	AuditIfNotExists, Désactivé	2.0.1
L’audit sur SQL Server doit être activé	L’audit sur votre serveur SQL Server doit être activé pour suivre les activités de toutes les bases de données du serveur et les enregistrer dans un journal d’audit.	AuditIfNotExists, Désactivé	2.0.0
Le provisionnement automatique de l’agent Log Analytics doit être activé sur votre abonnement	Pour superviser les menaces et les vulnérabilités de sécurité, Azure Security Center collecte des données à partir de vos machines virtuelles Azure. Les données sont collectées par l’agent Log Analytics, auparavant appelé Microsoft Monitoring Agent (MMA). Cet agent lit divers journaux d’événements et configurations liés à la sécurité de la machine, puis copie les données dans votre espace de travail Log Analytics à des fins d’analyse. Nous vous recommandons d’activer l’approvisionnement automatique pour déployer automatiquement l’agent sur toutes les machines virtuelles Azure prises en charge et sur toutes celles qui sont créées.	AuditIfNotExists, Désactivé	1.0.1
Azure Defender pour App Service doit être activé	Azure Defender pour App Service tire parti de l’envergure du cloud et de la visibilité dont Azure bénéficie en tant que fournisseur de cloud pour superviser les attaques d’applications web courantes.	AuditIfNotExists, Désactivé	1.0.3
Azure Defender pour les serveurs Azure SQL Database doit être activé	Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles.	AuditIfNotExists, Désactivé	1.0.2
Azure Defender pour Key Vault doit être activé	Azure Defender pour Key Vault fournit une couche de protection supplémentaire et une veille de sécurité qui détecte les tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des comptes Key Vault.	AuditIfNotExists, Désactivé	1.0.3
Azure Defender pour Resource Manager doit être activé	Azure Defender pour Ressource Manager supervise automatiquement toutes les opérations de gestion de ressources dans votre organisation. Azure Defender détecte les menaces et vous alerte sur les activités suspectes. Découvrez-en plus sur les fonctionnalités d’Azure Defender pour Resource Manager sur https://aka.ms/defender-for-resource-manager. L’activation de ce plan Azure Defender entraîne des frais. Découvrez-en plus sur les détails de tarification par région sur la page de tarification de Security Center : https://aka.ms/pricing-security-center.	AuditIfNotExists, Désactivé	1.0.0
Azure Defender pour les serveurs doit être activé	Azure Defender pour les serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs, et génère des recommandations de durcissement, ainsi que des alertes sur les activités suspectes.	AuditIfNotExists, Désactivé	1.0.3
Azure Defender pour les serveurs SQL sur les machines doit être activé	Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles.	AuditIfNotExists, Désactivé	1.0.2
Vous devez activer Azure Defender pour SQL pour les serveurs Azure SQL non protégés	Auditer les serveurs SQL sans Advanced Data Security	AuditIfNotExists, Désactivé	2.0.1
Vous devez activer Azure Defender pour SQL pour les instances SQL Managed Instance non protégées	Auditez chaque instance managée SQL sans Advanced Data Security.	AuditIfNotExists, Désactivé	1.0.2
Configurer les fonctionnalités d’audit d’Azure	CMA_C1108 - Configurer les fonctionnalités d’audit d’Azure	Manuel, désactivé	1.1.1
Mettre en corrélation les enregistrements d’audit	CMA_0087 - Mettre en corrélation les enregistrements d’audit	Manuel, désactivé	1.1.0
Déterminer les événements auditables	CMA_0137 – Déterminer les événements auditables	Manuel, désactivé	1.1.0
Établir des exigences pour la révision et la création de rapports d’audit	CMA_0277 - Établir des exigences pour la révision et la création de rapports d’audit	Manuel, désactivé	1.1.0
L’extension Guest Configuration doit être installée sur vos machines	Pour garantir des configurations sécurisées des paramètres dans l’invité de votre machine, installez l’extension Guest Configuration. Parmi les paramètres dans l’invité qui sont supervisés par l’extension figurent la configuration du système d’exploitation, la présence ou la configuration de l’application et les paramètres d’environnement. Une fois l’installation terminée, les stratégies dans l’invité seront disponibles, par exemple « Windows Exploit Guard doit être activé ». Pour en savoir plus, rendez-vous sur https://aka.ms/gcpol.	AuditIfNotExists, Désactivé	1.0.3
Intégrer la révision d’audit, l’analyse et la création de rapports	CMA_0339 - Intégrer la révision d’audit, l’analyse et la création de rapports	Manuel, désactivé	1.1.0
Intégrer la sécurité des applications cloud à un SIEM	CMA_0340 - Intégrer la sécurité des applications cloud à un SIEM	Manuel, désactivé	1.1.0
L’agent Log Analytics doit être installé sur votre machine virtuelle pour la supervision Azure Security Center	Cette stratégie audite les machines virtuelles Windows/Linux si l’agent Log Analytics, que Security Center utilise pour superviser les vulnérabilités et les menaces liées à la sécurité, n’est pas installé	AuditIfNotExists, Désactivé	1.0.0
L’agent Log Analytics doit être installé sur vos groupes de machines virtuelles identiques pour la supervision Azure Security Center	Azure Security Center collecte des données à partir de vos machines virtuelles Azure pour surveiller les menaces et vulnérabilités de sécurité.	AuditIfNotExists, Désactivé	1.0.0
Microsoft Defender pour les conteneurs doit être activé	Microsoft Defender pour les conteneurs fournit des protections renforcées, d’évaluation des vulnérabilités et d’exécution pour vos environnements Kubernetes Azure, hybrides et multiclouds.	AuditIfNotExists, Désactivé	1.0.0
Microsoft Defender pour le stockage doit être activé	Microsoft Defender pour le stockage détecte les menaces potentielles pour vos comptes de stockage. Il permet d’éviter les trois impacts majeurs sur vos données et votre charge de travail : les chargements de fichiers malveillants, l’exfiltration de données sensibles et l’altération des données. Le nouveau plan Defender pour le stockage inclut l’analyse des programmes malveillants et la détection des menaces de données sensibles. Ce plan fournit également une structure tarifaire prévisible (par compte de stockage) pour contrôler la couverture et les coûts.	AuditIfNotExists, Désactivé	1.0.0
Network Watcher doit être activé	Network Watcher est un service régional qui vous permet de surveiller et de diagnostiquer l’état au niveau d’un scénario réseau dans, vers et depuis Azure. La surveillance au niveau des scénarios vous permet de diagnostiquer les problèmes avec une vue de bout en bout du réseau. Vous devez créer un groupe de ressources Network Watcher dans chaque région où un réseau virtuel est présent. Une alerte est activée dans le cas où aucun groupe de ressources Network Watcher n’est disponible dans une région donnée.	AuditIfNotExists, Désactivé	3.0.0
Les journaux de ressources dans Azure Data Lake Store doivent être activés	Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau.	AuditIfNotExists, Désactivé	5.0.0
Les journaux de ressources dans Azure Stream Analytics doivent être activés	Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau.	AuditIfNotExists, Désactivé	5.0.0
Les journaux de ressources dans les comptes Batch doivent être activés	Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau.	AuditIfNotExists, Désactivé	5.0.0
Les journaux de ressources dans Data Lake Analytics doivent être activés	Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau.	AuditIfNotExists, Désactivé	5.0.0
Les journaux de ressources dans Event Hub doivent être activés	Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau.	AuditIfNotExists, Désactivé	5.0.0
Les journaux de ressources dans IoT Hub doivent être activés	Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau.	AuditIfNotExists, Désactivé	3.1.0
Les journaux de ressources dans Key Vault doivent être activés	Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau	AuditIfNotExists, Désactivé	5.0.0
Les journaux de ressources dans Logic Apps doivent être activés	Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau.	AuditIfNotExists, Désactivé	5.1.0
Les journaux de ressources dans les services Search doivent être activés	Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau.	AuditIfNotExists, Désactivé	5.0.0
Les journaux de ressources dans Service Bus doivent être activés	Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau.	AuditIfNotExists, Désactivé	5.0.0
Conserver les stratégies et procédures de sécurité	CMA_0454 – Conserver les stratégies et procédures de sécurité	Manuel, désactivé	1.1.0
Conserver les données utilisateur terminées	CMA_0455 – Conserver les données utilisateur terminées	Manuel, désactivé	1.1.0
Examiner les journaux d’approvisionnement de compte	CMA_0460 – Examiner les journaux d’approvisionnement de compte	Manuel, désactivé	1.1.0
Passer en revue les affectations d’administrateurs toutes les semaines	CMA_0461 - Passer en revue les affectations d’administrateurs toutes les semaines	Manuel, désactivé	1.1.0
Vérifier les journaux d'audit	CMA_0466 – Examiner les données d’audit	Manuel, désactivé	1.1.0
Passer en revue la vue d’ensemble du rapport des identités cloud	CMA_0468 - Passer en revue la vue d’ensemble du rapport des identités cloud	Manuel, désactivé	1.1.0
Passer en revue les événements accès contrôlé aux dossiers	CMA_0471 - Passer en revue les événements d’accès contrôlé aux dossiers	Manuel, désactivé	1.1.0
Examiner l’activité des fichiers et des dossiers	CMA_0473 - Examiner l’activité des fichiers et des dossiers	Manuel, désactivé	1.1.0
Passer en revue les modifications apportées aux groupes de rôles chaque semaine	CMA_0476 - Passer en revue les modifications apportées aux groupes de rôles chaque semaine	Manuel, désactivé	1.1.0
Les serveurs SQL avec un audit dans la destination Compte de stockage doivent être configurés avec une conservation d'au moins 90 jours	À des fins d’investigation d’incident, nous vous recommandons de définir la conservation des données pour la fonctionnalité d’audit de votre serveur SQL Server sur au moins 90 jours. Confirmez que vous respectez les règles de conservation nécessaires pour les régions dans lesquelles vous travaillez. Cela est parfois nécessaire pour la conformité aux normes réglementaires.	AuditIfNotExists, Désactivé	3.0.0
L’extension Log Analytics doit être installée sur Virtual Machine Scale Sets	Cette stratégie audite les groupes de machines virtuelles identiques Windows/Linux si l’extension Log Analytics n’est pas installée.	AuditIfNotExists, Désactivé	1.0.1
Les machines virtuelles doivent être connectées à un espace de travail spécifié	Les machines virtuelles dont la journalisation ne s’effectue pas sur l’espace de travail Log Analytics spécifié dans l’attribution de stratégie/d’initiative sont signalées comme non conformes.	AuditIfNotExists, Désactivé	1.1.0
L’extension Log Analytics doit être installée sur les machines virtuelles	Cette stratégie audite toutes les machines virtuelles Windows/Linux si l’extension Log Analytics n’est pas installée.	AuditIfNotExists, Désactivé	1.0.1
L’extension Guest Configuration des machines virtuelles doit être déployée avec une identité managée attribuée par le système	L’extension Guest Configuration requiert une identité managée affectée par le système. Les machines virtuelles Azure se trouvant dans l’étendue de cette stratégie ne sont pas conformes quand elles disposent de l’extension Guest Configuration mais qu’elles n’ont pas d’identité managée affectée par le système. Pour en savoir plus, voir https://aka.ms/gcpol	AuditIfNotExists, Désactivé	1.0.1

Vérifier que les actions de chaque utilisateur du système peuvent être suivies et mises en correspondance avec les utilisateurs en question, afin qu’ils puissent être tenus responsables de leurs actions.

ID : NIST SP 800-171 R2 3.3.2 Propriété : Partagé

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
[Préversion] : l’extension Microsoft Defender pour le cloud doit être installée sur les clusters Kubernetes avec Azure Arc	L’extension Microsoft Defender pour le cloud pour Azure Arc fournit une protection contre les menaces à vos clusters Kubernetes compatibles avec Arc. L’extension collecte les données de tous les nœuds du cluster et les envoie au back-end Azure Defender pour Kubernetes dans le cloud pour une analyse plus approfondie. En savoir plus sur https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc.	AuditIfNotExists, Désactivé	6.0.0-preview
[Préversion] : l’extension Log Analytics doit être installée sur vos machines Linux Azure Arc	Cette stratégie audite les machines Linux Azure Arc si l’extension Log Analytics n’est pas installée.	AuditIfNotExists, Désactivé	1.0.1-preview
[Préversion] : l’extension Log Analytics doit être installée sur vos machines Windows Azure Arc	Cette stratégie audite les machines Windows Azure Arc si l’extension Log Analytics n’est pas installée.	AuditIfNotExists, Désactivé	1.0.1-preview
[Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Linux	Security Center utilise Microsoft Dependency Agent pour collecter les données du trafic réseau sur vos machines virtuelles Azure, afin d’activer des fonctionnalités avancées de protection réseau : visualisation du trafic sur le plan du réseau, recommandations de durcissement de la sécurité réseau et menaces réseau spécifiques.	AuditIfNotExists, Désactivé	1.0.2-preview
[Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Windows	Security Center utilise Microsoft Dependency Agent pour collecter les données du trafic réseau sur vos machines virtuelles Azure, afin d’activer des fonctionnalités avancées de protection réseau : visualisation du trafic sur le plan du réseau, recommandations de durcissement de la sécurité réseau et menaces réseau spécifiques.	AuditIfNotExists, Désactivé	1.0.2-preview
Les applications App Service doivent avoir activé les journaux des ressources	Auditez l’activation des journaux de ressources sur l’application. Permet de recréer les pistes d’activité à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau.	AuditIfNotExists, Désactivé	2.0.1
L’audit sur SQL Server doit être activé	L’audit sur votre serveur SQL Server doit être activé pour suivre les activités de toutes les bases de données du serveur et les enregistrer dans un journal d’audit.	AuditIfNotExists, Désactivé	2.0.0
Le provisionnement automatique de l’agent Log Analytics doit être activé sur votre abonnement	Pour superviser les menaces et les vulnérabilités de sécurité, Azure Security Center collecte des données à partir de vos machines virtuelles Azure. Les données sont collectées par l’agent Log Analytics, auparavant appelé Microsoft Monitoring Agent (MMA). Cet agent lit divers journaux d’événements et configurations liés à la sécurité de la machine, puis copie les données dans votre espace de travail Log Analytics à des fins d’analyse. Nous vous recommandons d’activer l’approvisionnement automatique pour déployer automatiquement l’agent sur toutes les machines virtuelles Azure prises en charge et sur toutes celles qui sont créées.	AuditIfNotExists, Désactivé	1.0.1
Azure Defender pour App Service doit être activé	Azure Defender pour App Service tire parti de l’envergure du cloud et de la visibilité dont Azure bénéficie en tant que fournisseur de cloud pour superviser les attaques d’applications web courantes.	AuditIfNotExists, Désactivé	1.0.3
Azure Defender pour les serveurs Azure SQL Database doit être activé	Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles.	AuditIfNotExists, Désactivé	1.0.2
Azure Defender pour Key Vault doit être activé	Azure Defender pour Key Vault fournit une couche de protection supplémentaire et une veille de sécurité qui détecte les tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des comptes Key Vault.	AuditIfNotExists, Désactivé	1.0.3
Azure Defender pour Resource Manager doit être activé	Azure Defender pour Ressource Manager supervise automatiquement toutes les opérations de gestion de ressources dans votre organisation. Azure Defender détecte les menaces et vous alerte sur les activités suspectes. Découvrez-en plus sur les fonctionnalités d’Azure Defender pour Resource Manager sur https://aka.ms/defender-for-resource-manager. L’activation de ce plan Azure Defender entraîne des frais. Découvrez-en plus sur les détails de tarification par région sur la page de tarification de Security Center : https://aka.ms/pricing-security-center.	AuditIfNotExists, Désactivé	1.0.0
Azure Defender pour les serveurs doit être activé	Azure Defender pour les serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs, et génère des recommandations de durcissement, ainsi que des alertes sur les activités suspectes.	AuditIfNotExists, Désactivé	1.0.3
Azure Defender pour les serveurs SQL sur les machines doit être activé	Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles.	AuditIfNotExists, Désactivé	1.0.2
Vous devez activer Azure Defender pour SQL pour les serveurs Azure SQL non protégés	Auditer les serveurs SQL sans Advanced Data Security	AuditIfNotExists, Désactivé	2.0.1
Vous devez activer Azure Defender pour SQL pour les instances SQL Managed Instance non protégées	Auditez chaque instance managée SQL sans Advanced Data Security.	AuditIfNotExists, Désactivé	1.0.2
Déterminer les événements auditables	CMA_0137 – Déterminer les événements auditables	Manuel, désactivé	1.1.0
Établir les exigences de signature électronique et de certificat	CMA_0271 - Établir les exigences de signature électronique et de certificat	Manuel, désactivé	1.1.0
L’extension Guest Configuration doit être installée sur vos machines	Pour garantir des configurations sécurisées des paramètres dans l’invité de votre machine, installez l’extension Guest Configuration. Parmi les paramètres dans l’invité qui sont supervisés par l’extension figurent la configuration du système d’exploitation, la présence ou la configuration de l’application et les paramètres d’environnement. Une fois l’installation terminée, les stratégies dans l’invité seront disponibles, par exemple « Windows Exploit Guard doit être activé ». Pour en savoir plus, rendez-vous sur https://aka.ms/gcpol.	AuditIfNotExists, Désactivé	1.0.3
L’agent Log Analytics doit être installé sur votre machine virtuelle pour la supervision Azure Security Center	Cette stratégie audite les machines virtuelles Windows/Linux si l’agent Log Analytics, que Security Center utilise pour superviser les vulnérabilités et les menaces liées à la sécurité, n’est pas installé	AuditIfNotExists, Désactivé	1.0.0
L’agent Log Analytics doit être installé sur vos groupes de machines virtuelles identiques pour la supervision Azure Security Center	Azure Security Center collecte des données à partir de vos machines virtuelles Azure pour surveiller les menaces et vulnérabilités de sécurité.	AuditIfNotExists, Désactivé	1.0.0
Microsoft Defender pour les conteneurs doit être activé	Microsoft Defender pour les conteneurs fournit des protections renforcées, d’évaluation des vulnérabilités et d’exécution pour vos environnements Kubernetes Azure, hybrides et multiclouds.	AuditIfNotExists, Désactivé	1.0.0
Microsoft Defender pour le stockage doit être activé	Microsoft Defender pour le stockage détecte les menaces potentielles pour vos comptes de stockage. Il permet d’éviter les trois impacts majeurs sur vos données et votre charge de travail : les chargements de fichiers malveillants, l’exfiltration de données sensibles et l’altération des données. Le nouveau plan Defender pour le stockage inclut l’analyse des programmes malveillants et la détection des menaces de données sensibles. Ce plan fournit également une structure tarifaire prévisible (par compte de stockage) pour contrôler la couverture et les coûts.	AuditIfNotExists, Désactivé	1.0.0
Network Watcher doit être activé	Network Watcher est un service régional qui vous permet de surveiller et de diagnostiquer l’état au niveau d’un scénario réseau dans, vers et depuis Azure. La surveillance au niveau des scénarios vous permet de diagnostiquer les problèmes avec une vue de bout en bout du réseau. Vous devez créer un groupe de ressources Network Watcher dans chaque région où un réseau virtuel est présent. Une alerte est activée dans le cas où aucun groupe de ressources Network Watcher n’est disponible dans une région donnée.	AuditIfNotExists, Désactivé	3.0.0
Les journaux de ressources dans Azure Data Lake Store doivent être activés	Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau.	AuditIfNotExists, Désactivé	5.0.0
Les journaux de ressources dans Azure Stream Analytics doivent être activés	Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau.	AuditIfNotExists, Désactivé	5.0.0
Les journaux de ressources dans les comptes Batch doivent être activés	Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau.	AuditIfNotExists, Désactivé	5.0.0
Les journaux de ressources dans Data Lake Analytics doivent être activés	Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau.	AuditIfNotExists, Désactivé	5.0.0
Les journaux de ressources dans Event Hub doivent être activés	Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau.	AuditIfNotExists, Désactivé	5.0.0
Les journaux de ressources dans IoT Hub doivent être activés	Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau.	AuditIfNotExists, Désactivé	3.1.0
Les journaux de ressources dans Key Vault doivent être activés	Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau	AuditIfNotExists, Désactivé	5.0.0
Les journaux de ressources dans Logic Apps doivent être activés	Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau.	AuditIfNotExists, Désactivé	5.1.0
Les journaux de ressources dans les services Search doivent être activés	Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau.	AuditIfNotExists, Désactivé	5.0.0
Les journaux de ressources dans Service Bus doivent être activés	Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau.	AuditIfNotExists, Désactivé	5.0.0
Les serveurs SQL avec un audit dans la destination Compte de stockage doivent être configurés avec une conservation d'au moins 90 jours	À des fins d’investigation d’incident, nous vous recommandons de définir la conservation des données pour la fonctionnalité d’audit de votre serveur SQL Server sur au moins 90 jours. Confirmez que vous respectez les règles de conservation nécessaires pour les régions dans lesquelles vous travaillez. Cela est parfois nécessaire pour la conformité aux normes réglementaires.	AuditIfNotExists, Désactivé	3.0.0
L’extension Log Analytics doit être installée sur Virtual Machine Scale Sets	Cette stratégie audite les groupes de machines virtuelles identiques Windows/Linux si l’extension Log Analytics n’est pas installée.	AuditIfNotExists, Désactivé	1.0.1
Les machines virtuelles doivent être connectées à un espace de travail spécifié	Les machines virtuelles dont la journalisation ne s’effectue pas sur l’espace de travail Log Analytics spécifié dans l’attribution de stratégie/d’initiative sont signalées comme non conformes.	AuditIfNotExists, Désactivé	1.1.0
L’extension Log Analytics doit être installée sur les machines virtuelles	Cette stratégie audite toutes les machines virtuelles Windows/Linux si l’extension Log Analytics n’est pas installée.	AuditIfNotExists, Désactivé	1.0.1
L’extension Guest Configuration des machines virtuelles doit être déployée avec une identité managée attribuée par le système	L’extension Guest Configuration requiert une identité managée affectée par le système. Les machines virtuelles Azure se trouvant dans l’étendue de cette stratégie ne sont pas conformes quand elles disposent de l’extension Guest Configuration mais qu’elles n’ont pas d’identité managée affectée par le système. Pour en savoir plus, voir https://aka.ms/gcpol	AuditIfNotExists, Désactivé	1.0.1

Examinez et mettez à jour les événements journalisés.

ID : NIST SP 800-171 R2 3.3.3 Propriété : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Passer en revue et mettre à jour les événements définis dans AU-02	CMA_C1106 - Passer en revue et mettre à jour les événements définis dans AU-02	Manuel, désactivé	1.1.0

Alerter en cas d’échec du processus de journalisation d’audit.

ID : NIST SP 800-171 R2 3.3.4 Propriété : Partagé

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Azure Defender pour App Service doit être activé	Azure Defender pour App Service tire parti de l’envergure du cloud et de la visibilité dont Azure bénéficie en tant que fournisseur de cloud pour superviser les attaques d’applications web courantes.	AuditIfNotExists, Désactivé	1.0.3
Azure Defender pour les serveurs Azure SQL Database doit être activé	Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles.	AuditIfNotExists, Désactivé	1.0.2
Azure Defender pour Key Vault doit être activé	Azure Defender pour Key Vault fournit une couche de protection supplémentaire et une veille de sécurité qui détecte les tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des comptes Key Vault.	AuditIfNotExists, Désactivé	1.0.3
Azure Defender pour Resource Manager doit être activé	Azure Defender pour Ressource Manager supervise automatiquement toutes les opérations de gestion de ressources dans votre organisation. Azure Defender détecte les menaces et vous alerte sur les activités suspectes. Découvrez-en plus sur les fonctionnalités d’Azure Defender pour Resource Manager sur https://aka.ms/defender-for-resource-manager. L’activation de ce plan Azure Defender entraîne des frais. Découvrez-en plus sur les détails de tarification par région sur la page de tarification de Security Center : https://aka.ms/pricing-security-center.	AuditIfNotExists, Désactivé	1.0.0
Azure Defender pour les serveurs doit être activé	Azure Defender pour les serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs, et génère des recommandations de durcissement, ainsi que des alertes sur les activités suspectes.	AuditIfNotExists, Désactivé	1.0.3
Azure Defender pour les serveurs SQL sur les machines doit être activé	Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles.	AuditIfNotExists, Désactivé	1.0.2
Vous devez activer Azure Defender pour SQL pour les serveurs Azure SQL non protégés	Auditer les serveurs SQL sans Advanced Data Security	AuditIfNotExists, Désactivé	2.0.1
Vous devez activer Azure Defender pour SQL pour les instances SQL Managed Instance non protégées	Auditez chaque instance managée SQL sans Advanced Data Security.	AuditIfNotExists, Désactivé	1.0.2
Régir et surveiller les activités de traitement d’audit	CMA_0289 – Régir et surveiller les activités de traitement d’audit	Manuel, désactivé	1.1.0
Microsoft Defender pour les conteneurs doit être activé	Microsoft Defender pour les conteneurs fournit des protections renforcées, d’évaluation des vulnérabilités et d’exécution pour vos environnements Kubernetes Azure, hybrides et multiclouds.	AuditIfNotExists, Désactivé	1.0.0
Microsoft Defender pour le stockage doit être activé	Microsoft Defender pour le stockage détecte les menaces potentielles pour vos comptes de stockage. Il permet d’éviter les trois impacts majeurs sur vos données et votre charge de travail : les chargements de fichiers malveillants, l’exfiltration de données sensibles et l’altération des données. Le nouveau plan Defender pour le stockage inclut l’analyse des programmes malveillants et la détection des menaces de données sensibles. Ce plan fournit également une structure tarifaire prévisible (par compte de stockage) pour contrôler la couverture et les coûts.	AuditIfNotExists, Désactivé	1.0.0
Fournir des alertes en temps réel pour les échecs d’événements d’audit	CMA_C1114 – Fournir des alertes en temps réel pour les échecs d’événements d’audit	Manuel, désactivé	1.1.0

Mettez en corrélation les processus d'évaluation, d'analyse et de création de rapports d'enregistrements d'audit pour enquêter et réagir face aux indications d'activités illégales, non autorisées, suspectes ou inhabituelles.

ID : NIST SP 800-171 R2 3.3.5 Propriété : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Azure Defender pour App Service doit être activé	Azure Defender pour App Service tire parti de l’envergure du cloud et de la visibilité dont Azure bénéficie en tant que fournisseur de cloud pour superviser les attaques d’applications web courantes.	AuditIfNotExists, Désactivé	1.0.3
Azure Defender pour les serveurs Azure SQL Database doit être activé	Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles.	AuditIfNotExists, Désactivé	1.0.2
Azure Defender pour Key Vault doit être activé	Azure Defender pour Key Vault fournit une couche de protection supplémentaire et une veille de sécurité qui détecte les tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des comptes Key Vault.	AuditIfNotExists, Désactivé	1.0.3
Azure Defender pour Resource Manager doit être activé	Azure Defender pour Ressource Manager supervise automatiquement toutes les opérations de gestion de ressources dans votre organisation. Azure Defender détecte les menaces et vous alerte sur les activités suspectes. Découvrez-en plus sur les fonctionnalités d’Azure Defender pour Resource Manager sur https://aka.ms/defender-for-resource-manager. L’activation de ce plan Azure Defender entraîne des frais. Découvrez-en plus sur les détails de tarification par région sur la page de tarification de Security Center : https://aka.ms/pricing-security-center.	AuditIfNotExists, Désactivé	1.0.0
Azure Defender pour les serveurs doit être activé	Azure Defender pour les serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs, et génère des recommandations de durcissement, ainsi que des alertes sur les activités suspectes.	AuditIfNotExists, Désactivé	1.0.3
Azure Defender pour les serveurs SQL sur les machines doit être activé	Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles.	AuditIfNotExists, Désactivé	1.0.2
Vous devez activer Azure Defender pour SQL pour les serveurs Azure SQL non protégés	Auditer les serveurs SQL sans Advanced Data Security	AuditIfNotExists, Désactivé	2.0.1
Vous devez activer Azure Defender pour SQL pour les instances SQL Managed Instance non protégées	Auditez chaque instance managée SQL sans Advanced Data Security.	AuditIfNotExists, Désactivé	1.0.2
Mettre en corrélation les enregistrements d’audit	CMA_0087 - Mettre en corrélation les enregistrements d’audit	Manuel, désactivé	1.1.0
Intégrer l’analyse des enregistrements d’audit	CMA_C1120 – Intégrer l’analyse des enregistrements d’audit	Manuel, désactivé	1.1.0
Intégrer la sécurité des applications cloud à un SIEM	CMA_0340 - Intégrer la sécurité des applications cloud à un SIEM	Manuel, désactivé	1.1.0
Microsoft Defender pour les conteneurs doit être activé	Microsoft Defender pour les conteneurs fournit des protections renforcées, d’évaluation des vulnérabilités et d’exécution pour vos environnements Kubernetes Azure, hybrides et multiclouds.	AuditIfNotExists, Désactivé	1.0.0
Microsoft Defender pour le stockage doit être activé	Microsoft Defender pour le stockage détecte les menaces potentielles pour vos comptes de stockage. Il permet d’éviter les trois impacts majeurs sur vos données et votre charge de travail : les chargements de fichiers malveillants, l’exfiltration de données sensibles et l’altération des données. Le nouveau plan Defender pour le stockage inclut l’analyse des programmes malveillants et la détection des menaces de données sensibles. Ce plan fournit également une structure tarifaire prévisible (par compte de stockage) pour contrôler la couverture et les coûts.	AuditIfNotExists, Désactivé	1.0.0

Fournissez une réduction des enregistrements d'audit et la génération de rapports pour prendre en charge l'analyse et la création de rapports à la demande.

ID : NIST SP 800-171 R2 3.3.6 Propriété : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Auditer les fonctions privilégiées	CMA_0019 – Auditer les fonctions privilégiées	Manuel, désactivé	1.1.0
Auditer l’état du compte d’utilisateur	CMA_0020 – Auditer l’état du compte d’utilisateur	Manuel, désactivé	1.1.0
Compiler les enregistrements d’audit dans l’audit à l’échelle du système	CMA_C1140 - Compiler les enregistrements d’audit dans l’audit à l’échelle du système	Manuel, désactivé	1.1.0
Déterminer les événements auditables	CMA_0137 – Déterminer les événements auditables	Manuel, désactivé	1.1.0
Fournir une fonctionnalité de révision, d’analyse et de création de rapports d’audit	CMA_C1124 – Fournir une fonctionnalité de révision, d’analyse et de création de rapports d’audit	Manuel, désactivé	1.1.0
Fournir la possibilité de traiter les enregistrements d’audit contrôlés par le client	CMA_C1126 - Fournir la possibilité de traiter les enregistrements d’audit contrôlés par le client	Manuel, désactivé	1.1.0
Vérifier les journaux d'audit	CMA_0466 – Examiner les données d’audit	Manuel, désactivé	1.1.0

Fournir une fonctionnalité système qui compare et synchronise les horloges système internes avec une source faisant autorité afin de générer des horodatages pour les enregistrements d'audit.

ID : NIST SP 800-171 R2 3.3.7 Propriété : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Utiliser des horloges système pour les enregistrements d’audit	CMA_0535 - Utiliser des horloges système pour les enregistrements d’audit	Manuel, désactivé	1.1.0

Protéger les informations et les outils de journalisation des audits contre tout accès, modification et suppression non autorisés.

ID : NIST SP 800-171 R2 3.3.8 Propriété : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Activer l’autorisation double ou conjointe	CMA_0226 – Activer l’autorisation double ou conjointe	Manuel, désactivé	1.1.0
Établir des stratégies et des procédures de sauvegarde	CMA_0268 - Établir des stratégies et des procédures de sauvegarde	Manuel, désactivé	1.1.0
Maintenir l’intégrité du système d’audit	CMA_C1133 – Maintenir l’intégrité du système d’audit	Manuel, désactivé	1.1.0
Protéger les informations d’audit	CMA_0401 – Protéger les informations d’audit	Manuel, désactivé	1.1.0

Limitez la gestion de la fonctionnalité de journal d'audit à un sous-ensemble d'utilisateurs privilégiés.

ID : NIST SP 800-171 R2 3.3.9 Propriété : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Protéger les informations d’audit	CMA_0401 – Protéger les informations d’audit	Manuel, désactivé	1.1.0

Gestion de la configuration

Établir et gérer les configurations de référence et les inventaires des systèmes d’entreprise (y compris le matériel, les logiciels, les microprogrammes et la documentation) tout au long de leur cycle de vie de développement système.

ID : NIST SP 800-171 R2 3.4.1 Propriété : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
[Déconseillé] L’option « Certificats clients (certificats clients entrants) » doit être activée sur les applications de fonction	Les certificats clients permettent à l’application de demander un certificat pour les demandes entrantes. Seuls les clients disposant de certificats valides peuvent accéder à l’application. Cette stratégie a été remplacée par une nouvelle stratégie portant le même nom, car HTTP 2.0 ne prend pas en charge les certificats clients.	Audit, Désactivé	3.1.0-deprecated
L’option « Certificats clients (certificats clients entrants) » doit être activée sur les applications App service	Les certificats clients permettent à l’application de demander un certificat pour les demandes entrantes. Seuls les clients disposant d’un certificat valide peuvent accéder à l’application. Cette stratégie s’applique aux applications avec la version HTTP définie sur 1.1.	AuditIfNotExists, Désactivé	1.0.0
Le débogage à distance doit être désactivé pour les applications App Service	Le débogage distant nécessite que des ports d’entrée soient ouverts sur une application App Service. Le débogage à distance doit être désactivé.	AuditIfNotExists, Désactivé	2.0.0
Les applications App Service ne doivent pas avoir de CORS configuré pour permettre à toutes les ressources d'accéder à vos applications	Le partage des ressources cross-origin (CORS) ne doit pas autoriser tous les domaines à accéder à votre application. Autorisez uniquement les domaines requis à interagir avec votre application.	AuditIfNotExists, Désactivé	2.0.0
L’extension Azure Policy pour Azure Kubernetes Service (AKS) doit être installée et activée sur vos clusters	L’extension Azure Policy pour Azure Kubernetes Service (AKS) étend Gatekeeper v3, webhook de contrôleur d’admission pour Open Policy Agent (OPA), afin d’appliquer des mesures et des protections à grande échelle sur vos clusters de manière centralisée et cohérente.	Audit, Désactivé	1.0.2
Configurer des actions pour les appareils non conformes	CMA_0062 – Configurer des actions pour les appareils non conformes	Manuel, désactivé	1.1.0
Créer un inventaire des données	CMA_0096 - Créer un inventaire des données	Manuel, désactivé	1.1.0
Développer et tenir à jour les configurations de base	CMA_0153 – Développer et tenir à jour les configurations de base	Manuel, désactivé	1.1.0
Appliquer les paramètres de configuration de sécurité	CMA_0249 – Appliquer les paramètres de configuration de sécurité	Manuel, désactivé	1.1.0
Établir un panneau de configuration	CMA_0254 – Établir un panneau de configuration	Manuel, désactivé	1.1.0
Établir et documenter un plan de gestion de la configuration	CMA_0264 – Établir et documenter un plan de gestion de la configuration	Manuel, désactivé	1.1.0
Établir et tenir à jour un inventaire des ressources	CMA_0266 - Établir et tenir à jour un inventaire des ressources	Manuel, désactivé	1.1.0
Le débogage à distance doit être désactivé pour les applications de fonctions	Le débogage distant nécessite que des ports d’entrée soient ouverts sur les applications de fonction. Le débogage à distance doit être désactivé.	AuditIfNotExists, Désactivé	2.0.0
Les applications de fonctions ne doivent pas avoir de CORS configuré pour permettre à toutes les ressources d'accéder à vos applications	Le mécanisme CORS (Cross-Origin Resource Sharing) ne devrait pas autoriser tous les domaines à accéder à votre application de fonction. Autorisez uniquement les domaines nécessaires à interagir avec votre application de fonction.	AuditIfNotExists, Désactivé	2.0.0
Implémenter un outil de gestion de la configuration automatisée	CMA_0311 – Implémenter un outil de gestion de la configuration automatisée	Manuel, désactivé	1.1.0
Les limites de ressources processeur et de mémoire des conteneurs de clusters Kubernetes ne doivent pas dépasser les limites spécifiées	Appliquez des limites de ressources processeur et de mémoire au conteneur pour empêcher les attaques d’épuisement des ressources dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc.	audit, Audit, refus, Refus, désactivé, Désactivé	9.2.0
Les conteneurs de cluster Kubernetes ne doivent pas partager l’espace de noms de l’ID de processus hôte ou l’espace de noms IPC hôte	Empêche les conteneurs de pod de partager l’espace de noms de l’ID de processus hôte et l’espace de noms IPC hôte dans un cluster Kubernetes. Cette recommandation fait partie du CIS 5.2.2 et du CIS 5.2.3, qui visent à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc.	audit, Audit, refus, Refus, désactivé, Désactivé	5.1.0
Les conteneurs de cluster Kubernetes doivent utiliser uniquement des profils AppArmor autorisés	Les conteneurs de clusters Kubernetes doivent utiliser uniquement des profils AppArmor autorisés. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc.	audit, Audit, refus, Refus, désactivé, Désactivé	6.1.1
Les conteneurs de cluster Kubernetes doivent utiliser uniquement des fonctionnalités autorisées	Limitez les fonctionnalités afin de réduire la surface d’attaque des conteneurs dans un cluster Kubernetes. Cette recommandation fait partie du CIS 5.2.8 et du CIS 5.2.9, qui visent à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc.	audit, Audit, refus, Refus, désactivé, Désactivé	6.1.0
Les conteneurs de cluster Kubernetes doivent utiliser uniquement des fonctionnalités autorisées	Utilisez des images provenant de registres approuvés pour réduire le risque d’exposition du cluster Kubernetes aux vulnérabilités inconnues, aux problèmes de sécurité et aux images malveillantes. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc.	audit, Audit, refus, Refus, désactivé, Désactivé	9.2.0
Les conteneurs de cluster Kubernetes doivent s’exécuter avec un système de fichiers racine en lecture seule	Exécutez des conteneurs avec un système de fichiers racine en lecture seule pour le protéger contre les modifications au moment de l’exécution avec des fichiers binaires malveillants ajoutés au chemin d’accès dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc.	audit, Audit, refus, Refus, désactivé, Désactivé	6.2.0
Les volumes hostPath de pod de cluster Kubernetes doivent utiliser uniquement des chemins d’hôte autorisés	Limitez les montages de volume HostPath sur le pod aux chemins d’accès hôtes autorisés dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS) et pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc.	audit, Audit, refus, Refus, désactivé, Désactivé	6.1.1
Les pods et les conteneurs de cluster Kubernetes doivent être exécutés uniquement avec des ID d’utilisateur et de groupe approuvés	Contrôle les ID d’utilisateur, de groupe principal, de groupe supplémentaire et de groupe de systèmes de fichiers que les pods et les conteneurs peuvent utiliser pour s’exécuter dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc.	audit, Audit, refus, Refus, désactivé, Désactivé	6.1.1
Les pods de cluster Kubernetes doivent utiliser uniquement un réseau hôte et une plage de ports approuvés	Restreignez l’accès des pods au réseau hôte et à la plage de ports hôtes autorisés dans un cluster Kubernetes. Cette recommandation fait partie du CIS 5.2.4, qui vise à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc.	audit, Audit, refus, Refus, désactivé, Désactivé	6.1.0
Les services de cluster Kubernetes doivent écouter uniquement sur les ports autorisés	Limitez l’écoute des services aux ports autorisés pour sécuriser l’accès au cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc.	audit, Audit, refus, Refus, désactivé, Désactivé	8.1.0
Le cluster Kubernetes ne doit pas autoriser les conteneurs privilégiés	Ne pas autoriser pas la création de conteneurs privilégiés dans un cluster Kubernetes. Cette recommandation fait partie du CIS 5.2.1, qui vise à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc.	audit, Audit, refus, Refus, désactivé, Désactivé	9.1.0
Les clusters Kubernetes ne doivent pas autoriser la réaffectation de privilèges de conteneur	N’autorisez pas les conteneurs à s’exécuter avec une élévation des privilèges vers la racine dans un cluster Kubernetes. Cette recommandation fait partie du CIS 5.2.5, qui vise à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc.	audit, Audit, refus, Refus, désactivé, Désactivé	7.1.0
Les machines Linux doivent répondre aux exigences de la base de référence de sécurité Azure Compute	Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si elles ne sont pas configurées correctement par rapport aux différentes recommandations de la base de référence de sécurité d’Azure Compute.	AuditIfNotExists, Désactivé	2.2.0
Conserver les enregistrements de traitement des données personnelles	CMA_0353 - Conserver les enregistrements de traitement des données personnelles	Manuel, désactivé	1.1.0
Conserver les versions précédentes des configurations de base de référence	CMA_C1181 - Conserver les versions précédentes des configurations de base de référence	Manuel, désactivé	1.1.0
Les machines Windows doivent répondre aux exigences de la base de référence de sécurité Azure Compute	Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si elles ne sont pas configurées correctement par rapport aux différentes recommandations de la base de référence de sécurité d’Azure Compute.	AuditIfNotExists, Désactivé	2.0.0

Établir et appliquer des paramètres de configuration de sécurité pour les produits informatiques utilisés dans les systèmes d’entreprise.

ID : NIST SP 800-171 R2 3.4.2 Propriété : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
[Déconseillé] L’option « Certificats clients (certificats clients entrants) » doit être activée sur les applications de fonction	Les certificats clients permettent à l’application de demander un certificat pour les demandes entrantes. Seuls les clients disposant de certificats valides peuvent accéder à l’application. Cette stratégie a été remplacée par une nouvelle stratégie portant le même nom, car HTTP 2.0 ne prend pas en charge les certificats clients.	Audit, Désactivé	3.1.0-deprecated
L’option « Certificats clients (certificats clients entrants) » doit être activée sur les applications App service	Les certificats clients permettent à l’application de demander un certificat pour les demandes entrantes. Seuls les clients disposant d’un certificat valide peuvent accéder à l’application. Cette stratégie s’applique aux applications avec la version HTTP définie sur 1.1.	AuditIfNotExists, Désactivé	1.0.0
Le débogage à distance doit être désactivé pour les applications App Service	Le débogage distant nécessite que des ports d’entrée soient ouverts sur une application App Service. Le débogage à distance doit être désactivé.	AuditIfNotExists, Désactivé	2.0.0
Les applications App Service ne doivent pas avoir de CORS configuré pour permettre à toutes les ressources d'accéder à vos applications	Le partage des ressources cross-origin (CORS) ne doit pas autoriser tous les domaines à accéder à votre application. Autorisez uniquement les domaines requis à interagir avec votre application.	AuditIfNotExists, Désactivé	2.0.0
L’extension Azure Policy pour Azure Kubernetes Service (AKS) doit être installée et activée sur vos clusters	L’extension Azure Policy pour Azure Kubernetes Service (AKS) étend Gatekeeper v3, webhook de contrôleur d’admission pour Open Policy Agent (OPA), afin d’appliquer des mesures et des protections à grande échelle sur vos clusters de manière centralisée et cohérente.	Audit, Désactivé	1.0.2
Appliquer les paramètres de configuration de sécurité	CMA_0249 – Appliquer les paramètres de configuration de sécurité	Manuel, désactivé	1.1.0
Le débogage à distance doit être désactivé pour les applications de fonctions	Le débogage distant nécessite que des ports d’entrée soient ouverts sur les applications de fonction. Le débogage à distance doit être désactivé.	AuditIfNotExists, Désactivé	2.0.0
Les applications de fonctions ne doivent pas avoir de CORS configuré pour permettre à toutes les ressources d'accéder à vos applications	Le mécanisme CORS (Cross-Origin Resource Sharing) ne devrait pas autoriser tous les domaines à accéder à votre application de fonction. Autorisez uniquement les domaines nécessaires à interagir avec votre application de fonction.	AuditIfNotExists, Désactivé	2.0.0
Gouverner la conformité des fournisseurs de services cloud	CMA_0290 - Gouverner la conformité des fournisseurs de services cloud	Manuel, désactivé	1.1.0
Les limites de ressources processeur et de mémoire des conteneurs de clusters Kubernetes ne doivent pas dépasser les limites spécifiées	Appliquez des limites de ressources processeur et de mémoire au conteneur pour empêcher les attaques d’épuisement des ressources dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc.	audit, Audit, refus, Refus, désactivé, Désactivé	9.2.0
Les conteneurs de cluster Kubernetes ne doivent pas partager l’espace de noms de l’ID de processus hôte ou l’espace de noms IPC hôte	Empêche les conteneurs de pod de partager l’espace de noms de l’ID de processus hôte et l’espace de noms IPC hôte dans un cluster Kubernetes. Cette recommandation fait partie du CIS 5.2.2 et du CIS 5.2.3, qui visent à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc.	audit, Audit, refus, Refus, désactivé, Désactivé	5.1.0
Les conteneurs de cluster Kubernetes doivent utiliser uniquement des profils AppArmor autorisés	Les conteneurs de clusters Kubernetes doivent utiliser uniquement des profils AppArmor autorisés. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc.	audit, Audit, refus, Refus, désactivé, Désactivé	6.1.1
Les conteneurs de cluster Kubernetes doivent utiliser uniquement des fonctionnalités autorisées	Limitez les fonctionnalités afin de réduire la surface d’attaque des conteneurs dans un cluster Kubernetes. Cette recommandation fait partie du CIS 5.2.8 et du CIS 5.2.9, qui visent à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc.	audit, Audit, refus, Refus, désactivé, Désactivé	6.1.0
Les conteneurs de cluster Kubernetes doivent utiliser uniquement des fonctionnalités autorisées	Utilisez des images provenant de registres approuvés pour réduire le risque d’exposition du cluster Kubernetes aux vulnérabilités inconnues, aux problèmes de sécurité et aux images malveillantes. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc.	audit, Audit, refus, Refus, désactivé, Désactivé	9.2.0
Les conteneurs de cluster Kubernetes doivent s’exécuter avec un système de fichiers racine en lecture seule	Exécutez des conteneurs avec un système de fichiers racine en lecture seule pour le protéger contre les modifications au moment de l’exécution avec des fichiers binaires malveillants ajoutés au chemin d’accès dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc.	audit, Audit, refus, Refus, désactivé, Désactivé	6.2.0
Les volumes hostPath de pod de cluster Kubernetes doivent utiliser uniquement des chemins d’hôte autorisés	Limitez les montages de volume HostPath sur le pod aux chemins d’accès hôtes autorisés dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS) et pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc.	audit, Audit, refus, Refus, désactivé, Désactivé	6.1.1
Les pods et les conteneurs de cluster Kubernetes doivent être exécutés uniquement avec des ID d’utilisateur et de groupe approuvés	Contrôle les ID d’utilisateur, de groupe principal, de groupe supplémentaire et de groupe de systèmes de fichiers que les pods et les conteneurs peuvent utiliser pour s’exécuter dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc.	audit, Audit, refus, Refus, désactivé, Désactivé	6.1.1
Les pods de cluster Kubernetes doivent utiliser uniquement un réseau hôte et une plage de ports approuvés	Restreignez l’accès des pods au réseau hôte et à la plage de ports hôtes autorisés dans un cluster Kubernetes. Cette recommandation fait partie du CIS 5.2.4, qui vise à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc.	audit, Audit, refus, Refus, désactivé, Désactivé	6.1.0
Les services de cluster Kubernetes doivent écouter uniquement sur les ports autorisés	Limitez l’écoute des services aux ports autorisés pour sécuriser l’accès au cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc.	audit, Audit, refus, Refus, désactivé, Désactivé	8.1.0
Le cluster Kubernetes ne doit pas autoriser les conteneurs privilégiés	Ne pas autoriser pas la création de conteneurs privilégiés dans un cluster Kubernetes. Cette recommandation fait partie du CIS 5.2.1, qui vise à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc.	audit, Audit, refus, Refus, désactivé, Désactivé	9.1.0
Les clusters Kubernetes ne doivent pas autoriser la réaffectation de privilèges de conteneur	N’autorisez pas les conteneurs à s’exécuter avec une élévation des privilèges vers la racine dans un cluster Kubernetes. Cette recommandation fait partie du CIS 5.2.5, qui vise à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc.	audit, Audit, refus, Refus, désactivé, Désactivé	7.1.0
Les machines Linux doivent répondre aux exigences de la base de référence de sécurité Azure Compute	Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si elles ne sont pas configurées correctement par rapport aux différentes recommandations de la base de référence de sécurité d’Azure Compute.	AuditIfNotExists, Désactivé	2.2.0
Corriger les défauts du système d’information	CMA_0427 – Corriger les défauts du système d’information	Manuel, désactivé	1.1.0
Visualiser et configurer les données de diagnostic système	CMA_0544 - Visualiser et configurer les données de diagnostic système	Manuel, désactivé	1.1.0
Les machines Windows doivent répondre aux exigences de la base de référence de sécurité Azure Compute	Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si elles ne sont pas configurées correctement par rapport aux différentes recommandations de la base de référence de sécurité d’Azure Compute.	AuditIfNotExists, Désactivé	2.0.0

Suivre, vérifier, approuver ou désapprouver, et journaliser les modifications apportées aux systèmes d’entreprise.

ID : NIST SP 800-171 R2 3.4.3 Propriété : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Affecter un représentant de sécurité des informations au contrôle des modifications	CMA_C1198 – Affecter un représentant de sécurité des informations pour modifier le contrôle	Manuel, désactivé	1.1.0
Automatiser la demande d’approbation pour les modifications proposées	CMA_C1192 - Automatiser la demande d’approbation pour les modifications proposées	Manuel, désactivé	1.1.0
Automatiser l’implémentation des notifications de modification approuvées	CMA_C1196 - Automatiser l’implémentation des notifications de modification approuvées	Manuel, désactivé	1.1.0
Automatiser le processus de documentation des modifications implémentées	CMA_C1195 - Automatiser le processus de documentation des modifications implémentées	Manuel, désactivé	1.1.0
Automatiser le processus de mise en évidence des propositions de modification non révisées	CMA_C1193 - Automatiser le processus de mise en évidence des propositions de modification non révisées	Manuel, désactivé	1.1.0
Automatiser le processus d’interdiction de l’implémentation de modifications non approuvées	CMA_C1194 - Automatiser le processus d’interdiction d’implémentation de modifications non approuvées	Manuel, désactivé	1.1.0
Automatiser les modifications documentées proposées	CMA_C1191 - Automatiser les modifications documentées proposées	Manuel, désactivé	1.1.0
Effectuer une analyse d’impact sur la sécurité	CMA_0057 - Effectuer une analyse d’impact sur la sécurité	Manuel, désactivé	1.1.0
Développer et gérer un standard de gestion des vulnérabilités	CMA_0152 - Développer et gérer un standard de gestion des vulnérabilités	Manuel, désactivé	1.1.0
Établir une stratégie de gestion des risques	CMA_0258 - Établir une stratégie de gestion des risques	Manuel, désactivé	1.1.0
Établir et documenter les processus de contrôle des modifications	CMA_0265 – Établir et documenter les processus de contrôle des modifications	Manuel, désactivé	1.1.0
Établir des exigences de gestion de configuration pour les développeurs	CMA_0270 - Établir des exigences de gestion de configuration pour les développeurs	Manuel, désactivé	1.1.0
Effectuer une évaluation de l’impact sur la confidentialité	CMA_0387 - Effectuer une évaluation de l’impact sur la confidentialité	Manuel, désactivé	1.1.0
Effectuer une évaluation des risques	CMA_0388 - Effectuer une évaluation des risques	Manuel, désactivé	1.1.0
Effectuer un audit pour le contrôle des modifications de configuration	CMA_0390 - Effectuer un audit pour le contrôle des modifications de configuration	Manuel, désactivé	1.1.0

Analysez l'impact de la sécurité des modifications avant l'implémentation.

ID : NIST SP 800-171 R2 3.4.4 Propriété : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Effectuer une analyse d’impact sur la sécurité	CMA_0057 - Effectuer une analyse d’impact sur la sécurité	Manuel, désactivé	1.1.0
Développer et gérer un standard de gestion des vulnérabilités	CMA_0152 - Développer et gérer un standard de gestion des vulnérabilités	Manuel, désactivé	1.1.0
Établir une stratégie de gestion des risques	CMA_0258 - Établir une stratégie de gestion des risques	Manuel, désactivé	1.1.0
Établir et documenter les processus de contrôle des modifications	CMA_0265 – Établir et documenter les processus de contrôle des modifications	Manuel, désactivé	1.1.0
Établir des exigences de gestion de configuration pour les développeurs	CMA_0270 - Établir des exigences de gestion de configuration pour les développeurs	Manuel, désactivé	1.1.0
Effectuer une évaluation de l’impact sur la confidentialité	CMA_0387 - Effectuer une évaluation de l’impact sur la confidentialité	Manuel, désactivé	1.1.0
Effectuer une évaluation des risques	CMA_0388 - Effectuer une évaluation des risques	Manuel, désactivé	1.1.0
Effectuer un audit pour le contrôle des modifications de configuration	CMA_0390 - Effectuer un audit pour le contrôle des modifications de configuration	Manuel, désactivé	1.1.0

Définissez, documentez, approuvez et appliquez des restrictions d'accès physique et logique associées aux changements apportés aux systèmes d'entreprise.

ID : NIST SP 800-171 R2 3.4.5 Propriété : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Appliquer et auditer les restrictions d’accès	CMA_C1203 - Appliquer et auditer les restrictions d’accès	Manuel, désactivé	1.1.0
Établir et documenter les processus de contrôle des modifications	CMA_0265 – Établir et documenter les processus de contrôle des modifications	Manuel, désactivé	1.1.0
Limiter les privilèges pour apporter des modifications dans l’environnement de production	CMA_C1206 - Limiter les privilèges pour apporter des modifications dans l’environnement de production	Manuel, désactivé	1.1.0
Restreindre l’installation de logiciels et de microprogrammes non autorisés	CMA_C1205 - Restreindre l’installation de logiciels et de microprogrammes non autorisés	Manuel, désactivé	1.1.0
Passer en revue et réévaluer les privilèges	CMA_C1207 - Passer en revue et réévaluer les privilèges	Manuel, désactivé	1.1.0
Passer en revue les modifications non autorisées	CMA_C1204 - Passer en revue les modifications non autorisées	Manuel, désactivé	1.1.0

Utiliser le principe des fonctionnalités minimum en configurant des systèmes d’entreprise de manière à fournir uniquement des fonctionnalités essentielles.

ID : NIST SP 800-171 R2 3.4.6 Propriété : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Les contrôles d’application adaptatifs pour définir les applications sécurisées doivent être activés sur vos machines	Activer les contrôles d’application pour définir la liste des applications reconnues fiables qui s’exécutent sur vos machines, et vous avertir quand d’autres applications s’exécutent. La sécurité de vos machines contre les logiciels malveillants s’en trouve renforcée. Pour simplifier le processus de configuration et de maintenance de vos règles, Security Center utilise le Machine Learning pour analyser les applications qui s’exécutent sur chaque machine et suggérer la liste des applications reconnues fiables.	AuditIfNotExists, Désactivé	3.0.0
Les règles de liste verte dans votre stratégie de contrôle d’application adaptatif doivent être mises à jour	Supervisez les changements de comportement sur les groupes de machines configurés pour être audités par les contrôles d’application adaptatifs d’Azure Security Center. Security Center utilise le Machine Learning pour analyser les processus en cours d’exécution sur vos machines, et suggérer une liste d’applications reconnues fiables. Elles sont présentées comme des applications recommandées à autoriser dans les stratégies de contrôles d’application adaptatifs.	AuditIfNotExists, Désactivé	3.0.0
Azure Defender pour les serveurs doit être activé	Azure Defender pour les serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs, et génère des recommandations de durcissement, ainsi que des alertes sur les activités suspectes.	AuditIfNotExists, Désactivé	1.0.3

Limiter, désactiver ou empêcher l’utilisation de programmes, fonctions, ports, protocoles et services non essentiels.

ID : NIST SP 800-171 R2 3.4.7 Propriété : Partagé

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Les contrôles d’application adaptatifs pour définir les applications sécurisées doivent être activés sur vos machines	Activer les contrôles d’application pour définir la liste des applications reconnues fiables qui s’exécutent sur vos machines, et vous avertir quand d’autres applications s’exécutent. La sécurité de vos machines contre les logiciels malveillants s’en trouve renforcée. Pour simplifier le processus de configuration et de maintenance de vos règles, Security Center utilise le Machine Learning pour analyser les applications qui s’exécutent sur chaque machine et suggérer la liste des applications reconnues fiables.	AuditIfNotExists, Désactivé	3.0.0
Les règles de liste verte dans votre stratégie de contrôle d’application adaptatif doivent être mises à jour	Supervisez les changements de comportement sur les groupes de machines configurés pour être audités par les contrôles d’application adaptatifs d’Azure Security Center. Security Center utilise le Machine Learning pour analyser les processus en cours d’exécution sur vos machines, et suggérer une liste d’applications reconnues fiables. Elles sont présentées comme des applications recommandées à autoriser dans les stratégies de contrôles d’application adaptatifs.	AuditIfNotExists, Désactivé	3.0.0

Appliquer une stratégie de refus par exception (liste rouge) pour empêcher l’utilisation de logiciels non autorisés, ou une stratégie de refus complet, autorisation par exception (liste verte) pour autoriser l’exécution de logiciels autorisés.

ID : NIST SP 800-171 R2 3.4.8 Propriété : Partagé

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Les contrôles d’application adaptatifs pour définir les applications sécurisées doivent être activés sur vos machines	Activer les contrôles d’application pour définir la liste des applications reconnues fiables qui s’exécutent sur vos machines, et vous avertir quand d’autres applications s’exécutent. La sécurité de vos machines contre les logiciels malveillants s’en trouve renforcée. Pour simplifier le processus de configuration et de maintenance de vos règles, Security Center utilise le Machine Learning pour analyser les applications qui s’exécutent sur chaque machine et suggérer la liste des applications reconnues fiables.	AuditIfNotExists, Désactivé	3.0.0
Les règles de liste verte dans votre stratégie de contrôle d’application adaptatif doivent être mises à jour	Supervisez les changements de comportement sur les groupes de machines configurés pour être audités par les contrôles d’application adaptatifs d’Azure Security Center. Security Center utilise le Machine Learning pour analyser les processus en cours d’exécution sur vos machines, et suggérer une liste d’applications reconnues fiables. Elles sont présentées comme des applications recommandées à autoriser dans les stratégies de contrôles d’application adaptatifs.	AuditIfNotExists, Désactivé	3.0.0

Contrôler et superviser les logiciels installés par l’utilisateur.

ID : NIST SP 800-171 R2 3.4.9 Propriété : Partagé

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Les contrôles d’application adaptatifs pour définir les applications sécurisées doivent être activés sur vos machines	Activer les contrôles d’application pour définir la liste des applications reconnues fiables qui s’exécutent sur vos machines, et vous avertir quand d’autres applications s’exécutent. La sécurité de vos machines contre les logiciels malveillants s’en trouve renforcée. Pour simplifier le processus de configuration et de maintenance de vos règles, Security Center utilise le Machine Learning pour analyser les applications qui s’exécutent sur chaque machine et suggérer la liste des applications reconnues fiables.	AuditIfNotExists, Désactivé	3.0.0
Les règles de liste verte dans votre stratégie de contrôle d’application adaptatif doivent être mises à jour	Supervisez les changements de comportement sur les groupes de machines configurés pour être audités par les contrôles d’application adaptatifs d’Azure Security Center. Security Center utilise le Machine Learning pour analyser les processus en cours d’exécution sur vos machines, et suggérer une liste d’applications reconnues fiables. Elles sont présentées comme des applications recommandées à autoriser dans les stratégies de contrôles d’application adaptatifs.	AuditIfNotExists, Désactivé	3.0.0

Identification et authentification

Identifier les utilisateurs du système, les processus agissant au nom des utilisateurs et les appareils.

ID : NIST SP 800-171 R2 3.5.1 Propriété : Partagé

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Un administrateur Azure Active Directory doit être approvisionné pour les serveurs SQL	Auditer l’approvisionnement d’un administrateur Azure Active Directory pour votre serveur SQL afin d’activer l’authentification Azure AD. L’authentification Azure AD permet une gestion simplifiée des autorisations et une gestion centralisée des utilisateurs de bases de données et d’autres services Microsoft	AuditIfNotExists, Désactivé	1.0.0
Les applications App Service doivent utiliser une identité managée	Utiliser une identité managée pour renforcer la sécurité de l’authentification	AuditIfNotExists, Désactivé	3.0.0
Attribuer des identificateurs système	CMA_0018 - Attribuer des identificateurs système	Manuel, désactivé	1.1.0
Les ressources Azure AI Services doivent avoir l’accès par clé désactivé (désactiver l’authentification locale)	Pour des raisons de sécurité, il est recommandé de désactiver l’accès à la clé (authentification locale). Azure OpenAI Studio, généralement utilisé dans le développement/test, nécessite un accès à la clé et ne fonctionnera pas si l’accès à la clé est désactivé. Après la désactivation, Microsoft Entra ID devient la seule méthode d’accès, qui permet de conserver le principe de privilège minimal et le contrôle granulaire. Plus d’informations sur : https://aka.ms/AI/auth	Audit, Refuser, Désactivé	1.1.0
Appliquer l’unicité de l’utilisateur	CMA_0250 – Appliquer l’unicité de l’utilisateur	Manuel, désactivé	1.1.0
Les applications de fonction doivent utiliser une identité managée	Utiliser une identité managée pour renforcer la sécurité de l’authentification	AuditIfNotExists, Désactivé	3.0.0
Exiger l’utilisation d’authentificateurs individuels	CMA_C1305 – Exiger l’utilisation d’authentificateurs individuels	Manuel, désactivé	1.1.0
Les clusters Service Fabric ne doivent utiliser Azure Active Directory que pour l’authentification client	Auditer l'utilisation de l'authentification client uniquement par le biais d'Azure Active Directory dans Service Fabric	Audit, Refuser, Désactivé	1.1.0
Prendre en charge les informations d’identification de vérification personnelle émises par les autorités juridiques	CMA_0507 – Prendre en charge les informations d’identification de vérification personnelle émises par les autorités juridiques	Manuel, désactivé	1.1.0

Stocker et transmettre uniquement les mots de passe protégés par chiffrement.

ID : NIST SP 800-171 R2 3.5.10 Propriété : Partagé

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles sans identité	Cette stratégie ajoute une identité managée affectée par le système aux machines virtuelles hébergées dans Azure et qui sont prises en charge par Guest Configuration, mais qui n’ont pas d’identité managée. Une identité managée affectée par le système est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol.	modify	4.1.0
Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles qui ont une identité affectée par l’utilisateur	Cette stratégie ajoute une identité managée affectée par le système aux machines virtuelles, hébergées dans Azure, qui sont prises en charge par Guest Configuration et ont au moins une identité affectée par l’utilisateur, mais pas d’identité managée affectée par le système. Une identité managée affectée par le système est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol.	modify	4.1.0
Auditer les machines Linux qui n’ont pas les autorisations de fichier passwd définies sur 0644	Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Linux ne sont pas conformes si elles n’ont pas les autorisations de fichier de mot de passe définies sur 0644	AuditIfNotExists, Désactivé	3.1.0
Auditer les machines Windows qui ne stockent pas les mots de passe à l’aide du chiffrement réversible	Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Windows ne sont pas conformes si elles ne stockent pas les mots de passe à l’aide du chiffrement réversible	AuditIfNotExists, Désactivé	2.0.0
Déployer l’extension Guest Configuration Linux pour activer les affectations Guest Configuration sur les machines virtuelles Linux	Cette stratégie déploie l’extension Guest Configuration Linux sur les machines virtuelles Linux hébergées dans Azure qui sont prises en charge par Guest Configuration. L’extension Guest Configuration pour Linux est un prérequis dans toutes les affectations de Guest Configuration pour Linux. Elle doit être déployée sur les machines avant l’utilisation d’une définition de stratégie Guest Configuration pour Linux. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol.	deployIfNotExists	3.1.0
Déployer l’extension Guest Configuration Windows pour activer les affectations Guest Configuration sur les machines virtuelles Windows	Cette stratégie déploie l’extension Guest Configuration Windows sur les machines virtuelles Windows hébergées dans Azure qui sont prises en charge par Guest Configuration. L’extension Guest Configuration Windows est un prérequis pour toutes les affectations Guest Configuration Windows. Vous devez la déployer sur vos machines avant d’utiliser une définition de stratégie Guest Configuration Windows. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol.	deployIfNotExists	1.2.0
Vérifier que les utilisateurs autorisés protègent les authentificateurs fournis	CMA_C1339 – S’assurer que les utilisateurs autorisés protègent les authentificateurs fournis	Manuel, désactivé	1.1.0
Protéger les mots de passe avec le chiffrement	CMA_0408 – Protéger les mots de passe avec le chiffrement	Manuel, désactivé	1.1.0
Les machines Windows doivent répondre aux exigences de « Options de sécurité - Sécurité réseau »	Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Options de sécurité - Sécurité réseau » pour inclure le comportement du système local, PKU2U, LAN Manager, le client LDAP et NTLM SSP. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol.	AuditIfNotExists, Désactivé	3.0.0

Obscurcissez les commentaires des informations d'authentification.

ID : NIST SP 800-171 R2 3.5.11 Propriété : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Masquer les informations de feedback lors du processus d’authentification	CMA_C1344 - Masquer les informations de feedback lors du processus d’authentification	Manuel, désactivé	1.1.0

Authentifier (ou vérifier) les identités des utilisateurs, des processus ou des appareils, comme condition préalable à l’autorisation de l’accès aux systèmes de l’organisation.

ID : NIST SP 800-171 R2 3.5.2 Propriété : Partagé

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Les comptes disposant d’autorisations de propriétaire sur les ressources Azure doivent être compatibles avec l’authentification multifacteur	MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant d'autorisations de propriétaire afin d'éviter une violation des comptes ou des ressources.	AuditIfNotExists, Désactivé	1.0.0
Les comptes disposant d’autorisations en lecture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur	MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en lecture afin d'éviter une violation des comptes ou des ressources.	AuditIfNotExists, Désactivé	1.0.0
Les comptes disposant d’autorisations en écriture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur	MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en écriture pour éviter une violation des comptes ou des ressources.	AuditIfNotExists, Désactivé	1.0.0
Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles sans identité	Cette stratégie ajoute une identité managée affectée par le système aux machines virtuelles hébergées dans Azure et qui sont prises en charge par Guest Configuration, mais qui n’ont pas d’identité managée. Une identité managée affectée par le système est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol.	modify	4.1.0
Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles qui ont une identité affectée par l’utilisateur	Cette stratégie ajoute une identité managée affectée par le système aux machines virtuelles, hébergées dans Azure, qui sont prises en charge par Guest Configuration et ont au moins une identité affectée par l’utilisateur, mais pas d’identité managée affectée par le système. Une identité managée affectée par le système est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol.	modify	4.1.0
Un administrateur Azure Active Directory doit être approvisionné pour les serveurs SQL	Auditer l’approvisionnement d’un administrateur Azure Active Directory pour votre serveur SQL afin d’activer l’authentification Azure AD. L’authentification Azure AD permet une gestion simplifiée des autorisations et une gestion centralisée des utilisateurs de bases de données et d’autres services Microsoft	AuditIfNotExists, Désactivé	1.0.0
Les applications App Service doivent utiliser une identité managée	Utiliser une identité managée pour renforcer la sécurité de l’authentification	AuditIfNotExists, Désactivé	3.0.0
Auditer les machines Linux qui n’ont pas les autorisations de fichier passwd définies sur 0644	Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Linux ne sont pas conformes si elles n’ont pas les autorisations de fichier de mot de passe définies sur 0644	AuditIfNotExists, Désactivé	3.1.0
Auditer les machines Windows qui ne stockent pas les mots de passe à l’aide du chiffrement réversible	Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Windows ne sont pas conformes si elles ne stockent pas les mots de passe à l’aide du chiffrement réversible	AuditIfNotExists, Désactivé	2.0.0
L’authentification auprès des machines Linux doit exiger des clés SSH	Bien que le protocole SSH lui-même offre une connexion chiffrée, l’utilisation de mots de passe avec SSH laisse néanmoins la machine virtuelle vulnérable aux attaques en force brute. L’option la plus sûre pour l’authentification auprès d’une machine virtuelle Linux Azure via SSH est d’utiliser une paire de clés publique-privée, également appelées clés SSH. En savoir plus : https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed.	AuditIfNotExists, Désactivé	3.2.0
Les ressources Azure AI Services doivent avoir l’accès par clé désactivé (désactiver l’authentification locale)	Pour des raisons de sécurité, il est recommandé de désactiver l’accès à la clé (authentification locale). Azure OpenAI Studio, généralement utilisé dans le développement/test, nécessite un accès à la clé et ne fonctionnera pas si l’accès à la clé est désactivé. Après la désactivation, Microsoft Entra ID devient la seule méthode d’accès, qui permet de conserver le principe de privilège minimal et le contrôle granulaire. Plus d’informations sur : https://aka.ms/AI/auth	Audit, Refuser, Désactivé	1.1.0
La période de validité maximale doit être spécifiée pour les certificats	Gérez les exigences en matière de conformité de votre organisation en spécifiant la durée maximale pendant laquelle un certificat peut être valide dans votre coffre de clés.	audit, Audit, refus, Refus, désactivé, Désactivé	2.2.1
Déployer l’extension Guest Configuration Linux pour activer les affectations Guest Configuration sur les machines virtuelles Linux	Cette stratégie déploie l’extension Guest Configuration Linux sur les machines virtuelles Linux hébergées dans Azure qui sont prises en charge par Guest Configuration. L’extension Guest Configuration pour Linux est un prérequis dans toutes les affectations de Guest Configuration pour Linux. Elle doit être déployée sur les machines avant l’utilisation d’une définition de stratégie Guest Configuration pour Linux. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol.	deployIfNotExists	3.1.0
Déployer l’extension Guest Configuration Windows pour activer les affectations Guest Configuration sur les machines virtuelles Windows	Cette stratégie déploie l’extension Guest Configuration Windows sur les machines virtuelles Windows hébergées dans Azure qui sont prises en charge par Guest Configuration. L’extension Guest Configuration Windows est un prérequis pour toutes les affectations Guest Configuration Windows. Vous devez la déployer sur vos machines avant d’utiliser une définition de stratégie Guest Configuration Windows. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol.	deployIfNotExists	1.2.0
Établir des types et des processus d’authentificateur	CMA_0267 - Établir des types et des processus d’authentificateur	Manuel, désactivé	1.1.0
Établir des procédures pour la distribution initiale de l’authentificateur	CMA_0276 - Établir des procédures pour la distribution initiale de l’authentificateur	Manuel, désactivé	1.1.0
Les applications de fonction doivent utiliser une identité managée	Utiliser une identité managée pour renforcer la sécurité de l’authentification	AuditIfNotExists, Désactivé	3.0.0
Les clés Key Vault doivent avoir une date d’expiration	Les clés de chiffrement doivent avoir une date d’expiration définie et ne pas être permanentes. Les clés valides indéfiniment offrent à un intrus potentiel plus de temps pour compromettre la clé. Il est recommandé de définir les dates d’expiration des clés de chiffrement.	Audit, Refuser, Désactivé	1.0.2
Les secrets Key Vault doivent avoir une date d’expiration	Les secrets doivent avoir une date d’expiration définie et ne pas être permanents. Les secrets valides indéfiniment offrent à un attaquant potentiel plus de temps pour les compromettre. Il est recommandé de définir les dates d’expiration des secrets.	Audit, Refuser, Désactivé	1.0.2
Gérer la durée de vie et la réutilisation de l’authentificateur	CMA_0355 - Gérer la durée de vie et la réutilisation de l’authentificateur	Manuel, désactivé	1.1.0
Gérer les authentificateurs	CMA_C1321 - Gérer les authentificateurs	Manuel, désactivé	1.1.0
Actualiser les authentificateurs	CMA_0425 - Actualiser les authentificateurs	Manuel, désactivé	1.1.0
Les clusters Service Fabric ne doivent utiliser Azure Active Directory que pour l’authentification client	Auditer l'utilisation de l'authentification client uniquement par le biais d'Azure Active Directory dans Service Fabric	Audit, Refuser, Désactivé	1.1.0
Vérifier l’identité avant de distribuer les authentificateurs	CMA_0538 - Vérifier l’identité avant de distribuer les authentificateurs	Manuel, désactivé	1.1.0

Utilisez l'authentification multifacteur pour l'accès local et réseau aux comptes privilégiés et pour l'accès réseau aux comptes non privilégiés.

ID : NIST SP 800-171 R2 3.5.3 Propriété : Partagé

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Les comptes disposant d’autorisations de propriétaire sur les ressources Azure doivent être compatibles avec l’authentification multifacteur	MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant d'autorisations de propriétaire afin d'éviter une violation des comptes ou des ressources.	AuditIfNotExists, Désactivé	1.0.0
Les comptes disposant d’autorisations en lecture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur	MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en lecture afin d'éviter une violation des comptes ou des ressources.	AuditIfNotExists, Désactivé	1.0.0
Les comptes disposant d’autorisations en écriture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur	MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en écriture pour éviter une violation des comptes ou des ressources.	AuditIfNotExists, Désactivé	1.0.0
Adopter des mécanismes d’authentification biométrique	CMA_0005 – Adopter des mécanismes d’authentification biométrique	Manuel, désactivé	1.1.0
Identifier et authentifier les périphériques réseau	CMA_0296 – Identifier et authentifier les périphériques réseau	Manuel, désactivé	1.1.0

Utilisez des mécanismes d'authentification capables d'offrir une protection contre les attaques par rejeu pour l'accès réseau aux comptes privilégiés et non privilégiés.

ID : NIST SP 800-171 R2 3.5.4 Propriété : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Les machines Windows doivent répondre aux exigences de « Options de sécurité - Sécurité réseau »	Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Options de sécurité - Sécurité réseau » pour inclure le comportement du système local, PKU2U, LAN Manager, le client LDAP et NTLM SSP. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol.	AuditIfNotExists, Désactivé	3.0.0

Empêchez la réutilisation des identificateurs pour une période définie.

ID : NIST SP 800-171 R2 3.5.5 Propriété : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Un administrateur Azure Active Directory doit être approvisionné pour les serveurs SQL	Auditer l’approvisionnement d’un administrateur Azure Active Directory pour votre serveur SQL afin d’activer l’authentification Azure AD. L’authentification Azure AD permet une gestion simplifiée des autorisations et une gestion centralisée des utilisateurs de bases de données et d’autres services Microsoft	AuditIfNotExists, Désactivé	1.0.0
Les applications App Service doivent utiliser une identité managée	Utiliser une identité managée pour renforcer la sécurité de l’authentification	AuditIfNotExists, Désactivé	3.0.0
Les ressources Azure AI Services doivent avoir l’accès par clé désactivé (désactiver l’authentification locale)	Pour des raisons de sécurité, il est recommandé de désactiver l’accès à la clé (authentification locale). Azure OpenAI Studio, généralement utilisé dans le développement/test, nécessite un accès à la clé et ne fonctionnera pas si l’accès à la clé est désactivé. Après la désactivation, Microsoft Entra ID devient la seule méthode d’accès, qui permet de conserver le principe de privilège minimal et le contrôle granulaire. Plus d’informations sur : https://aka.ms/AI/auth	Audit, Refuser, Désactivé	1.1.0
Les applications de fonction doivent utiliser une identité managée	Utiliser une identité managée pour renforcer la sécurité de l’authentification	AuditIfNotExists, Désactivé	3.0.0
Empêcher la réutilisation de l’identificateur pour la période définie	CMA_C1314 - Empêcher la réutilisation de l’identificateur pour la période définie	Manuel, désactivé	1.1.0
Les clusters Service Fabric ne doivent utiliser Azure Active Directory que pour l’authentification client	Auditer l'utilisation de l'authentification client uniquement par le biais d'Azure Active Directory dans Service Fabric	Audit, Refuser, Désactivé	1.1.0

Désactivez les identificateurs après une période d'inactivité définie.

ID : NIST SP 800-171 R2 3.5.6 Propriété : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Un administrateur Azure Active Directory doit être approvisionné pour les serveurs SQL	Auditer l’approvisionnement d’un administrateur Azure Active Directory pour votre serveur SQL afin d’activer l’authentification Azure AD. L’authentification Azure AD permet une gestion simplifiée des autorisations et une gestion centralisée des utilisateurs de bases de données et d’autres services Microsoft	AuditIfNotExists, Désactivé	1.0.0
Les applications App Service doivent utiliser une identité managée	Utiliser une identité managée pour renforcer la sécurité de l’authentification	AuditIfNotExists, Désactivé	3.0.0
Les ressources Azure AI Services doivent avoir l’accès par clé désactivé (désactiver l’authentification locale)	Pour des raisons de sécurité, il est recommandé de désactiver l’accès à la clé (authentification locale). Azure OpenAI Studio, généralement utilisé dans le développement/test, nécessite un accès à la clé et ne fonctionnera pas si l’accès à la clé est désactivé. Après la désactivation, Microsoft Entra ID devient la seule méthode d’accès, qui permet de conserver le principe de privilège minimal et le contrôle granulaire. Plus d’informations sur : https://aka.ms/AI/auth	Audit, Refuser, Désactivé	1.1.0
Les comptes bloqués disposant d’autorisations en lecture et en écriture sur les ressources Azure doivent être supprimés	Les comptes déconseillés doivent être supprimés de vos abonnements. Les comptes déconseillés sont des comptes qui ont été empêchés de se connecter.	AuditIfNotExists, Désactivé	1.0.0
Les applications de fonction doivent utiliser une identité managée	Utiliser une identité managée pour renforcer la sécurité de l’authentification	AuditIfNotExists, Désactivé	3.0.0
Les clusters Service Fabric ne doivent utiliser Azure Active Directory que pour l’authentification client	Auditer l'utilisation de l'authentification client uniquement par le biais d'Azure Active Directory dans Service Fabric	Audit, Refuser, Désactivé	1.1.0

Imposer une complexité minimale du mot de passe et un changement de caractères lors de la création de nouveaux mots de passe.

ID : NIST SP 800-171 R2 3.5.7 Propriété : Partagé

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles sans identité	Cette stratégie ajoute une identité managée affectée par le système aux machines virtuelles hébergées dans Azure et qui sont prises en charge par Guest Configuration, mais qui n’ont pas d’identité managée. Une identité managée affectée par le système est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol.	modify	4.1.0
Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles qui ont une identité affectée par l’utilisateur	Cette stratégie ajoute une identité managée affectée par le système aux machines virtuelles, hébergées dans Azure, qui sont prises en charge par Guest Configuration et ont au moins une identité affectée par l’utilisateur, mais pas d’identité managée affectée par le système. Une identité managée affectée par le système est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol.	modify	4.1.0
Auditer les machines Windows qui n’ont pas le paramètre de complexité de mot de passe activé	Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Windows ne sont pas conformes si elles n’ont pas le paramètre de complexité de mot de passe activé	AuditIfNotExists, Désactivé	2.0.0
Auditer les machines Windows qui ne limitent pas la longueur minimale du mot de passe à un nombre de caractères spécifié	Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Windows ne sont pas conformes si elles ne limitent pas la longueur minimale du mot de passe à un nombre de caractères spécifié. La valeur par défaut pour la longueur minimale du mot de passe est de 14 caractères	AuditIfNotExists, Désactivé	2.1.0
Déployer l’extension Guest Configuration Windows pour activer les affectations Guest Configuration sur les machines virtuelles Windows	Cette stratégie déploie l’extension Guest Configuration Windows sur les machines virtuelles Windows hébergées dans Azure qui sont prises en charge par Guest Configuration. L’extension Guest Configuration Windows est un prérequis pour toutes les affectations Guest Configuration Windows. Vous devez la déployer sur vos machines avant d’utiliser une définition de stratégie Guest Configuration Windows. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol.	deployIfNotExists	1.2.0
Documenter les exigences de niveau de sécurité dans les contrats d’acquisition	CMA_0203 - Documenter les exigences de niveau de sécurité dans les contrats d’acquisition	Manuel, désactivé	1.1.0
Établir une stratégie de mot de passe	CMA_0256 - Établir une stratégie de mot de passe	Manuel, désactivé	1.1.0
Implémenter des paramètres pour les vérificateurs de secrets mémorisés	CMA_0321 - Implémenter des paramètres pour les vérificateurs de secrets mémorisés	Manuel, désactivé	1.1.0

Interdire la réutilisation du mot de passe pour un nombre spécifié de générations.

ID : NIST SP 800-171 R2 3.5.8 Propriété : Partagé

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles sans identité	Cette stratégie ajoute une identité managée affectée par le système aux machines virtuelles hébergées dans Azure et qui sont prises en charge par Guest Configuration, mais qui n’ont pas d’identité managée. Une identité managée affectée par le système est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol.	modify	4.1.0
Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles qui ont une identité affectée par l’utilisateur	Cette stratégie ajoute une identité managée affectée par le système aux machines virtuelles, hébergées dans Azure, qui sont prises en charge par Guest Configuration et ont au moins une identité affectée par l’utilisateur, mais pas d’identité managée affectée par le système. Une identité managée affectée par le système est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol.	modify	4.1.0
Auditer les machines Windows qui autorisent la réutilisation des mots de passe après le nombre spécifié de mots de passe uniques	Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si les machines Windows autorisent la réutilisation des mots de passe après le nombre spécifié de mots de passe uniques. La valeur par défaut pour les mots de passe uniques est 24	AuditIfNotExists, Désactivé	2.1.0
Déployer l’extension Guest Configuration Windows pour activer les affectations Guest Configuration sur les machines virtuelles Windows	Cette stratégie déploie l’extension Guest Configuration Windows sur les machines virtuelles Windows hébergées dans Azure qui sont prises en charge par Guest Configuration. L’extension Guest Configuration Windows est un prérequis pour toutes les affectations Guest Configuration Windows. Vous devez la déployer sur vos machines avant d’utiliser une définition de stratégie Guest Configuration Windows. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol.	deployIfNotExists	1.2.0

Réponse aux incidents

Établir une fonctionnalité de gestion des incidents opérationnels pour les systèmes d’entreprise qui comprend des activités de préparation, de détection, d’analyse, de contenance, de récupération et de réponse utilisateur.

ID : NIST SP 800-171 R2 3.6.1 Propriété : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Coordonner les plans d’urgence avec les plans associés	CMA_0086 - Coordonner les plans d’urgence avec les plans associés	Manuel, désactivé	1.1.0
Coordonner avec des organisations externes pour atteindre une perspective inter-organisations	CMA_C1368 – Coordonner avec des organisations externes pour atteindre la perspective inter-organisations	Manuel, désactivé	1.1.0
Mettez sur pied un plan de réponse en cas d'incident	CMA_0145 – Développer un plan de réponse aux incidents	Manuel, désactivé	1.1.0
Développer des protections de sécurité	CMA_0161 - Développer des protections de sécurité	Manuel, désactivé	1.1.0
Documenter les opérations de sécurité	CMA_0202 – Documenter les opérations de sécurité	Manuel, désactivé	1.1.0
Activer la protection du réseau	CMA_0238 - Activer la protection réseau	Manuel, désactivé	1.1.0
Éradiquer les informations contaminées	CMA_0253 - Éradiquer les informations contaminées	Manuel, désactivé	1.1.0
Exécuter des actions en réponse à des fuites d’informations	CMA_0281 - Exécuter des actions en réponse à des fuites d’informations	Manuel, désactivé	1.1.0
Implémenter une gestion des incidents	CMA_0318 - Implémenter une gestion des incidents	Manuel, désactivé	1.1.0
Effectuer une analyse des tendances sur les menaces	CMA_0389 – Effectuer une analyse des tendances sur les menaces	Manuel, désactivé	1.1.0
Fournir une formation sur les fuites d’informations	CMA_0413 - Fournir une formation sur les fuites d’informations	Manuel, désactivé	1.1.0
Visualiser et examiner les utilisateurs restreints	CMA_0545 - Visualiser et examiner les utilisateurs restreints	Manuel, désactivé	1.1.0

Suivez, documentez, puis signalez les incidents à des responsables et/ou autorités désignés, internes et externes à l'organisation.

ID : NIST SP 800-171 R2 3.6.2 Propriété : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
La notification par e-mail pour les alertes à gravité élevée doit être activée	Pour informer les personnes concernées de votre organisation d’une violation de sécurité potentielle dans l’un de vos abonnements, activez les notifications par e-mail pour les alertes à gravité élevée dans Security Center.	AuditIfNotExists, Désactivé	1.0.1
La notification par e-mail au propriétaire de l’abonnement pour les alertes à gravité élevée doit être activée	Pour informer les propriétaires d’abonnement d’une violation de sécurité potentielle dans leur abonnement, activez l’envoi de notifications par e-mail à ces propriétaires pour les alertes à gravité élevée dans Security Center.	AuditIfNotExists, Désactivé	2.0.0
Les abonnements doivent avoir l’adresse e-mail d’un contact pour le signalement des problèmes de sécurité	Pour informer les personnes concernées de votre organisation d’une violation de sécurité potentielle dans l’un de vos abonnements, définissez un contact de sécurité qui recevra des notifications par e-mail dans Security Center.	AuditIfNotExists, Désactivé	1.0.1

Testez la fonctionnalité de réponse aux incidents de l'organisation.

ID : NIST SP 800-171 R2 3.6.3 Propriété : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Effectuer des tests de réponse aux incidents	CMA_0060 – Mener des tests de réponse aux incidents	Manuel, désactivé	1.1.0
Établir un programme de sécurité des informations	CMA_0263 - Établir un programme de sécurité des informations	Manuel, désactivé	1.1.0
Exécuter des attaques de simulation	CMA_0486 – Exécuter des attaques de simulation	Manuel, désactivé	1.1.0

Maintenance

Effectuez la maintenance sur les systèmes d'entreprise.[26].

ID : NIST SP 800-171 R2 3.7.1 Propriété : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Contrôler les activités de maintenance et de réparation	CMA_0080 - Contrôler les activités de maintenance et de réparation	Manuel, désactivé	1.1.0

Fournissez des contrôles sur les outils, les techniques, les mécanismes et le personnel utilisés pour effectuer la maintenance du système.

ID : NIST SP 800-171 R2 3.7.2 Propriété : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Contrôler les activités de maintenance et de réparation	CMA_0080 - Contrôler les activités de maintenance et de réparation	Manuel, désactivé	1.1.0
Utiliser un mécanisme de nettoyage des médias	CMA_0208 - Utiliser un mécanisme de nettoyage des médias	Manuel, désactivé	1.1.0
Implémenter des contrôles pour sécuriser tous les supports	CMA_0314 – Implémenter des contrôles pour sécuriser tous les supports	Manuel, désactivé	1.1.0
Gérer les activités de maintenance et de diagnostic non locales	CMA_0364 - Gérer les activités de maintenance et de diagnostic non locales	Manuel, désactivé	1.1.0

Assurez-vous que le matériel retiré pour maintenance hors site ne contient plus aucune information non classifiée contrôlée.

ID : NIST SP 800-171 R2 3.7.3 Propriété : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Utiliser un mécanisme de nettoyage des médias	CMA_0208 - Utiliser un mécanisme de nettoyage des médias	Manuel, désactivé	1.1.0
Implémenter des contrôles pour sécuriser tous les supports	CMA_0314 – Implémenter des contrôles pour sécuriser tous les supports	Manuel, désactivé	1.1.0
Gérer les activités de maintenance et de diagnostic non locales	CMA_0364 - Gérer les activités de maintenance et de diagnostic non locales	Manuel, désactivé	1.1.0

Vérifiez le média contenant des programmes de diagnostic et de test à la recherche de code malveillant avant de l'utiliser dans les systèmes de l'organisation.

ID : NIST SP 800-171 R2 3.7.4 Propriété : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Contrôler les activités de maintenance et de réparation	CMA_0080 - Contrôler les activités de maintenance et de réparation	Manuel, désactivé	1.1.0
Gérer les activités de maintenance et de diagnostic non locales	CMA_0364 - Gérer les activités de maintenance et de diagnostic non locales	Manuel, désactivé	1.1.0

Exigez l'authentification multifacteur pour établir des sessions de maintenance non locales via des connexions réseau externes, puis fermez ces connexions quand une maintenance non locale est terminée.

ID : NIST SP 800-171 R2 3.7.5 Propriété : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Gérer les activités de maintenance et de diagnostic non locales	CMA_0364 - Gérer les activités de maintenance et de diagnostic non locales	Manuel, désactivé	1.1.0

Supervisez les activités de maintenance du personnel de maintenance sans autorisation d'accès requise.

ID : NIST SP 800-171 R2 3.7.6 Propriété : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Désigner du personnel pour surveiller les activités de maintenance non autorisées	CMA_C1422 - Désigner du personnel pour surveiller les activités de maintenance non autorisées	Manuel, désactivé	1.1.0
Tenir à jour la liste du personnel de maintenance à distance autorisé	CMA_C1420 - Tenir à jour la liste du personnel de maintenance à distance autorisé	Manuel, désactivé	1.1.0
Gérer le personnel de maintenance	CMA_C1421 - Gérer le personnel de maintenance	Manuel, désactivé	1.1.0

Protection média

Protégez (c'est-à-dire, stockez physiquement et de manière sécurisée) les médias système contenant des informations non classifiées contrôlées, sous forme papier et numérique.

ID : NIST SP 800-171 R2 3.8.1 Propriété : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Utiliser un mécanisme de nettoyage des médias	CMA_0208 - Utiliser un mécanisme de nettoyage des médias	Manuel, désactivé	1.1.0
Implémenter des contrôles pour sécuriser tous les supports	CMA_0314 – Implémenter des contrôles pour sécuriser tous les supports	Manuel, désactivé	1.1.0

Limitez l'accès aux informations non contrôlées classifiées sur le média système aux utilisateurs autorisés.

ID : NIST SP 800-171 R2 3.8.2 Propriété : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Utiliser un mécanisme de nettoyage des médias	CMA_0208 - Utiliser un mécanisme de nettoyage des médias	Manuel, désactivé	1.1.0
Implémenter des contrôles pour sécuriser tous les supports	CMA_0314 – Implémenter des contrôles pour sécuriser tous les supports	Manuel, désactivé	1.1.0

Nettoyez ou détruisez les médias système contenant des informations non classifiées contrôlées avant l'élimination ou la mise en production pour réutilisation.

ID : NIST SP 800-171 R2 3.8.3 Propriété : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Utiliser un mécanisme de nettoyage des médias	CMA_0208 - Utiliser un mécanisme de nettoyage des médias	Manuel, désactivé	1.1.0
Implémenter des contrôles pour sécuriser tous les supports	CMA_0314 – Implémenter des contrôles pour sécuriser tous les supports	Manuel, désactivé	1.1.0

Marquez le média avec les indications d'informations non classifiées contrôlées et de distribution nécessaires.[27]

ID : NIST SP 800-171 R2 3.8.4 Propriété : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Implémenter des contrôles pour sécuriser tous les supports	CMA_0314 – Implémenter des contrôles pour sécuriser tous les supports	Manuel, désactivé	1.1.0

Contrôlez l'accès aux médias qui contiennent des informations non classifiées, puis assurez la responsabilité des médias pendant le transport en dehors des zones contrôlées.

ID : NIST SP 800-171 R2 3.8.5 Propriété : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Implémenter des contrôles pour sécuriser tous les supports	CMA_0314 – Implémenter des contrôles pour sécuriser tous les supports	Manuel, désactivé	1.1.0
Gérer le transport des ressources	CMA_0370 - Gérer le transport des ressources	Manuel, désactivé	1.1.0

Implémentez des mécanismes de chiffrement pour protéger la confidentialité des informations non classifiées stockées sur des médias numériques pendant le transport, sauf si d'autres dispositifs de protection physiques les protègent.

ID : NIST SP 800-171 R2 3.8.6 Propriété : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Implémenter des contrôles pour sécuriser tous les supports	CMA_0314 – Implémenter des contrôles pour sécuriser tous les supports	Manuel, désactivé	1.1.0
Gérer le transport des ressources	CMA_0370 - Gérer le transport des ressources	Manuel, désactivé	1.1.0

Contrôlez l'utilisation de médias amovibles sur les composants système.

ID : NIST SP 800-171 R2 3.8.7 Propriété : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Bloque les processus non approuvés et non signés qui s’exécutent par USB	CMA_0050 – Bloquer les processus non signés et non approuvés qui s'exécutent à partir d'un lecteur USB	Manuel, désactivé	1.1.0
Contrôler l’utilisation des périphériques de stockage portables	CMA_0083 - Contrôler l’utilisation des périphériques de stockage portables	Manuel, désactivé	1.1.0
Implémenter des contrôles pour sécuriser tous les supports	CMA_0314 – Implémenter des contrôles pour sécuriser tous les supports	Manuel, désactivé	1.1.0
Restreindre l’utilisation des médias	CMA_0450 - Restreindre l’utilisation des médias	Manuel, désactivé	1.1.0

Empêchez l'utilisation d'appareils de stockage portables quand ils n'ont pas de propriétaire identifiable.

ID : NIST SP 800-171 R2 3.8.8 Propriété : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Bloque les processus non approuvés et non signés qui s’exécutent par USB	CMA_0050 – Bloquer les processus non signés et non approuvés qui s'exécutent à partir d'un lecteur USB	Manuel, désactivé	1.1.0
Contrôler l’utilisation des périphériques de stockage portables	CMA_0083 - Contrôler l’utilisation des périphériques de stockage portables	Manuel, désactivé	1.1.0
Implémenter des contrôles pour sécuriser tous les supports	CMA_0314 – Implémenter des contrôles pour sécuriser tous les supports	Manuel, désactivé	1.1.0
Restreindre l’utilisation des médias	CMA_0450 - Restreindre l’utilisation des médias	Manuel, désactivé	1.1.0

Protégez la confidentialité de la sauvegarde des informations non classifiées sur les emplacements de stockage.

ID : NIST SP 800-171 R2 3.8.9 Propriété : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
La sauvegarde Azure doit être activée pour les machines virtuelles	Assurez la protection de vos machines virtuelles Azure en activant la sauvegarde Azure. La Sauvegarde Azure est une solution de protection des données sécurisée et économique pour Azure.	AuditIfNotExists, Désactivé	3.0.0
Établir des stratégies et des procédures de sauvegarde	CMA_0268 - Établir des stratégies et des procédures de sauvegarde	Manuel, désactivé	1.1.0
La sauvegarde géoredondante doit être activée pour Azure Database for MariaDB	Azure Database for MariaDB vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région jumelée pour offrir une possibilité de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création du serveur.	Audit, Désactivé	1.0.1
La sauvegarde géoredondante doit être activée pour Azure Database pour MySQL	Azure Database pour MySQL vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région jumelée pour offrir une possibilité de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création du serveur.	Audit, Désactivé	1.0.1
La sauvegarde géoredondante doit être activée pour Azure Database pour PostgreSQL	Azure Database pour PostgreSQL vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région jumelée pour offrir une possibilité de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création du serveur.	Audit, Désactivé	1.0.1
Implémenter des contrôles pour sécuriser tous les supports	CMA_0314 – Implémenter des contrôles pour sécuriser tous les supports	Manuel, désactivé	1.1.0
La protection contre la suppression doit être activée pour les coffres de clés	La suppression malveillante d’un coffre de clés peut entraîner une perte définitive des données. Vous pouvez empêcher la perte permanente de données en activant la protection contre la suppression définitive et la suppression réversible. La protection contre la suppression définitive vous protège des attaques internes en appliquant une période de conservation obligatoire pour les coffres de clés supprimés de manière réversible. Personne au sein de votre organisation ni chez Microsoft ne pourra supprimer définitivement vos coffres de clés pendant la période de conservation de la suppression réversible. N’oubliez pas que la suppression réversible est activée par défaut pour les coffres de clés créés après le 1er septembre 2019.	Audit, Refuser, Désactivé	2.1.0
La suppression réversible doit être activée sur les coffres de clés	La suppression d’un coffre de clés sur lequel la suppression réversible n’est pas activée supprime définitivement tous les secrets, toutes les clés et tous les certificats qui y stockés. La suppression accidentelle d’un coffre de clés peut entraîner la perte définitive des données. La suppression réversible vous permet de récupérer un coffre de clés supprimé accidentellement, pendant une période de conservation configurable.	Audit, Refuser, Désactivé	3.0.0

Sécurité du personnel

Filtrez les utilisateurs avant d'autoriser l'accès aux systèmes de l'organisation contenant des informations non classifiées contrôlées.

ID : NIST SP 800-171 R2 3.9.1 Propriété : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Habiliter le personnel ayant accès aux informations classifiées	CMA_0054 - Habiliter le personnel ayant accès aux informations classifiées	Manuel, désactivé	1.1.0
Implémenter le filtrage du personnel	CMA_0322 - Implémenter le filtrage du personnel	Manuel, désactivé	1.1.0

Veillez à ce que les systèmes de l'organisation contenant des informations non classifiées contrôlées soient protégés pendant et après les actions liées au personnel, comme les fins de contrat et les transferts.

ID : NIST SP 800-171 R2 3.9.2 Propriété : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Mener un entretien de sortie après la fin du contrat de travail	CMA_0058 - Mener un entretien de sortie après la fin du contrat de travail	Manuel, désactivé	1.1.0
Désactiver les authentificateurs lors de l’arrêt	CMA_0169 – Désactiver les authentificateurs lors de l’arrêt	Manuel, désactivé	1.1.0
Lancer des actions de transfert ou de réaffectation	CMA_0333 - Lancer des actions de transfert ou de réaffectation	Manuel, désactivé	1.1.0
Modifier les autorisations d’accès lors du transfert de personnel	CMA_0374 - Modifier les autorisations d’accès lors du transfert de personnel	Manuel, désactivé	1.1.0
Notifier après une fin de contrat ou un transfert	CMA_0381 - Notifier après une fin de contrat ou un transfert	Manuel, désactivé	1.1.0
Protéger contre et empêcher le vol de données par des employés sur le départ	CMA_0398 - Protéger contre et empêcher le vol de données par des employés sur le départ	Manuel, désactivé	1.1.0
Réévaluer l’accès lors du transfert de personnel	CMA_0424 - Réévaluer l’accès lors du transfert de personnel	Manuel, désactivé	1.1.0

Étapes suivantes

Autres articles sur Azure Policy :

• Présentation de la Conformité réglementaire.
• Voir la structure de la définition d’initiative.
• Passez en revue d’autres exemples de la page Exemples Azure Policy.
• Consultez la page Compréhension des effets de Policy.
• Découvrez comment corriger des ressources non conformes.