Détails de l’initiative intégrée de conformité réglementaire SWIFT CSP-CSCF v2022

Article
04/17/2024

L’article suivant explique en détail comment la définition de l’initiative intégrée de conformité réglementaire Azure Policy est mappée aux domaines de conformité et aux contrôles dans SWIFT CSP-CSCF v2022. Pour plus d’informations sur cette norme de conformité, consultez SWIFT CSP CSCF v2022. Pour comprendre la propriété, consultez Définition de stratégie Azure Policy et Responsabilité partagée dans le cloud.

Les mappages suivants concernent les contrôles SWIFT CSP-CSCF v2022. De nombreux contrôles sont mis en œuvre avec la définition d’une initiative Azure Policy. Pour examiner la définition d’initiative complète, ouvrez Stratégie dans le Portail Azure et sélectionnez la page Définitions. Ensuite, recherchez et sélectionnez la définition d’initiative intégrée de conformité réglementaire SWIFT CSP-CSCF v2022.

Important

Chaque contrôle ci-dessous est associé à une ou plusieurs définitions Azure Policy. Ces stratégies peuvent vous aider à évaluer la conformité avec le contrôle ; toutefois, il n’existe pas souvent de correspondance un-à-un ou parfaite entre un contrôle et une ou plusieurs stratégies. Ainsi, la conformité dans Azure Policy fait uniquement référence aux définitions de stratégie elles-mêmes ; cela ne garantit pas que vous êtes entièrement conforme à toutes les exigences d’un contrôle. En outre, la norme de conformité comprend des contrôles qui ne sont traités par aucune définition Azure Policy pour l’instant. Par conséquent, la conformité dans Azure Policy n’est qu’une vue partielle de l’état de conformité global. Les associations entre les domaines de conformité, les contrôles et les définitions Azure Policy pour cette norme de conformité peuvent changer au fil du temps. Pour afficher l’historique des changements, consultez l’historique des validations GitHub.

1. Restreindre l’accès à Internet et protéger les systèmes critiques de l’environnement informatique général

Garantissez la protection de l’infrastructure SWIFT locale de l’utilisateur contre les éléments potentiellement compromis de l’environnement informatique général et de l’environnement externe.

ID : Propriété SWIFT CSCF v2022 1.1 : Partagé

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
[Préversion] : L’ensemble du trafic Internet doit transiter par votre Pare-feu Azure déployé	Azure Security Center a détecté que certains de vos sous-réseaux ne sont pas protégés par un pare-feu de nouvelle génération. Protégez vos sous-réseaux contre les menaces potentielles en limitant leur accès avec le pare-feu Azure ou un pare-feu de nouvelle génération pris en charge	AuditIfNotExists, Désactivé	3.0.0-preview
[Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Linux	Security Center utilise Microsoft Dependency Agent pour collecter les données du trafic réseau sur vos machines virtuelles Azure, afin d’activer des fonctionnalités avancées de protection réseau : visualisation du trafic sur le plan du réseau, recommandations de durcissement de la sécurité réseau et menaces réseau spécifiques.	AuditIfNotExists, Désactivé	1.0.2-preview
[Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Windows	Security Center utilise Microsoft Dependency Agent pour collecter les données du trafic réseau sur vos machines virtuelles Azure, afin d’activer des fonctionnalités avancées de protection réseau : visualisation du trafic sur le plan du réseau, recommandations de durcissement de la sécurité réseau et menaces réseau spécifiques.	AuditIfNotExists, Désactivé	1.0.2-preview
Les contrôles d’application adaptatifs pour définir les applications sécurisées doivent être activés sur vos machines	Activer les contrôles d’application pour définir la liste des applications reconnues fiables qui s’exécutent sur vos machines, et vous avertir quand d’autres applications s’exécutent. La sécurité de vos machines contre les logiciels malveillants s’en trouve renforcée. Pour simplifier le processus de configuration et de maintenance de vos règles, Security Center utilise le Machine Learning pour analyser les applications qui s’exécutent sur chaque machine et suggérer la liste des applications reconnues fiables.	AuditIfNotExists, Désactivé	3.0.0
Les recommandations de renforcement de réseau adaptatif doivent être appliquées sur les machines virtuelles accessibles à partir d’Internet	Azure Security Center analyse les tendances du trafic des machines virtuelles accessibles sur Internet et fournit des recommandations sur les règles de groupe de sécurité réseau à utiliser pour réduire la surface d’attaque potentielle	AuditIfNotExists, Désactivé	3.0.0
Tous les ports réseau doivent être restreints sur les groupes de sécurité réseau associés à votre machine virtuelle	Azure Security Center a identifié qu’une partie des règles de trafic entrant de vos groupes de sécurité réseau est trop permissive. Les règles de trafic entrant ne doivent pas autoriser l’accès à partir des plages « Tout » ou « Internet ». Cela peut permettre aux attaquants de cibler vos ressources.	AuditIfNotExists, Désactivé	3.0.0
Les règles de liste verte dans votre stratégie de contrôle d’application adaptatif doivent être mises à jour	Supervisez les changements de comportement sur les groupes de machines configurés pour être audités par les contrôles d’application adaptatifs d’Azure Security Center. Security Center utilise le Machine Learning pour analyser les processus en cours d’exécution sur vos machines, et suggérer une liste d’applications reconnues fiables. Elles sont présentées comme des applications recommandées à autoriser dans les stratégies de contrôles d’application adaptatifs.	AuditIfNotExists, Désactivé	3.0.0
Les applications App Service doivent utiliser un point de terminaison de service de réseau virtuel	Utilisez des points de terminaison de service de réseau virtuel pour restreindre l’accès à votre application à partir des sous-réseaux sélectionnés à partir d’un réseau virtuel Azure. Pour en savoir plus sur les points de terminaison de service App Service, consultez https://aka.ms/appservice-vnet-service-endpoint.	AuditIfNotExists, Désactivé	2.0.1
Azure Key Vault doit avoir le pare-feu activé	Activez le pare-feu du coffre de clés pour que le coffre de clés ne soit pas accessible par défaut aux adresses IP publiques. Vous pouvez éventuellement configurer des plages d’adresses IP spécifiques pour limiter l’accès à ces réseaux. Plus d’informations sur : https://docs.microsoft.com/azure/key-vault/general/network-security	Audit, Refuser, Désactivé	3.2.1
Vérifier la conformité de la confidentialité et de la sécurité avant d’établir des connexions internes	CMA_0053 - Vérifier la conformité de la confidentialité et de la sécurité avant d’établir des connexions internes	Manuel, désactivé	1.1.0
S’assurer que les fournisseurs externes répondent de manière cohérente aux intérêts des clients	CMA_C1592 - S’assurer que les fournisseurs externes répondent systématiquement aux intérêts des clients	Manuel, désactivé	1.1.0
Implémenter la protection des limites des systèmes	CMA_0328 - Implémenter la protection des limites des systèmes	Manuel, désactivé	1.1.0
Les machines virtuelles accessibles à partir d’Internet doivent être protégées avec des groupes de sécurité réseau	Protégez vos machines virtuelles contre les menaces potentielles en limitant leur accès avec des groupes de sécurité réseau (NSG). Pour en savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau, consultez https://aka.ms/nsg-doc.	AuditIfNotExists, Désactivé	3.0.0
Le transfert IP doit être désactivé sur votre machine virtuelle	L’activation du transfert IP sur la carte réseau d’une machine virtuelle permet à cette dernière de recevoir du trafic adressé à d’autres destinations. Le transfert IP n'est que rarement nécessaire (par exemple, lors de l'utilisation de la machine virtuelle en tant qu'appliance virtuelle de réseau). Par conséquent, un examen par l'équipe de sécurité réseau est requis.	AuditIfNotExists, Désactivé	3.0.0
Key Vault doit utiliser un point de terminaison de service de réseau virtuel	Cette stratégie audite Key Vault s’il n’est pas configuré pour utiliser un point de terminaison de service de réseau virtuel.	Audit, Désactivé	1.0.0
Network Watcher doit être activé	Network Watcher est un service régional qui vous permet de surveiller et de diagnostiquer l’état au niveau d’un scénario réseau dans, vers et depuis Azure. La surveillance au niveau des scénarios vous permet de diagnostiquer les problèmes avec une vue de bout en bout du réseau. Vous devez créer un groupe de ressources Network Watcher dans chaque région où un réseau virtuel est présent. Une alerte est activée dans le cas où aucun groupe de ressources Network Watcher n’est disponible dans une région donnée.	AuditIfNotExists, Désactivé	3.0.0
Passer en revue la conformité du fournisseur de services cloud avec les stratégies et les contrats	CMA_0469 - Passer en revue la conformité du fournisseur de services cloud avec les stratégies et les contrats	Manuel, désactivé	1.1.0
Les comptes de stockage doivent limiter l’accès réseau	L’accès réseau aux comptes de stockage doit être limité. Configurez les règles du réseau de telle manière que seules les applications des réseaux autorisés puissent accéder au compte de stockage. Pour autoriser les connexions de clients Internet ou locaux spécifiques, l’accès au trafic peut être autorisé à partir de réseaux virtuels Azure spécifiques ou vers des plages d’adresses IP Internet publiques.	Audit, Refuser, Désactivé	1.1.1
Les comptes de stockage doivent utiliser un point de terminaison de service de réseau virtuel	Cette stratégie audite les comptes de stockage non configurés pour utiliser un point de terminaison de service de réseau virtuel.	Audit, Désactivé	1.0.0
les sous-réseaux doivent être associés à un groupe de sécurité réseau	Protégez votre sous-réseau contre les menaces potentielles en y limitant l’accès avec un groupe de sécurité réseau (NSG). Les NSG contiennent une liste de règles de liste de contrôle d’accès (ACL) qui autorisent ou refusent le trafic réseau vers votre sous-réseau.	AuditIfNotExists, Désactivé	3.0.0
Faire l’objet d’une révision de sécurité indépendante	CMA_0515 - Faire l’objet d’une révision de sécurité indépendante	Manuel, désactivé	1.1.0
Les modèles VM Image Builder doivent utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à vos ressources de création VM Image Builder, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet.	Audit, Désactivé, Refus	1.1.0

Limitez et contrôlez l’allocation et l’utilisation des comptes de système d’exploitation au niveau de l’administrateur.

ID : Propriété SWIFT CSCF v2022 1.2 : Partagé

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
3 propriétaires maximum doivent être désignés pour votre abonnement	Il est recommandé de désigner jusqu'à 3 propriétaires d'abonnement pour réduire le risque de violation par un propriétaire compromis.	AuditIfNotExists, Désactivé	3.0.0
Auditer les fonctions privilégiées	CMA_0019 – Auditer les fonctions privilégiées	Manuel, désactivé	1.1.0
Les comptes bloqués disposant d’autorisations de propriétaire sur les ressources Azure doivent être supprimés	Les comptes déconseillés disposant d’autorisations de type propriétaire doivent être supprimés de votre abonnement. Les comptes déconseillés sont des comptes qui ont été empêchés de se connecter.	AuditIfNotExists, Désactivé	1.0.0
Les comptes bloqués disposant d’autorisations en lecture et en écriture sur les ressources Azure doivent être supprimés	Les comptes déconseillés doivent être supprimés de vos abonnements. Les comptes déconseillés sont des comptes qui ont été empêchés de se connecter.	AuditIfNotExists, Désactivé	1.0.0
Définir et appliquer des conditions pour les comptes partagés et de groupe	CMA_0117 – Définir et appliquer des conditions pour les comptes partagés et de groupe	Manuel, désactivé	1.1.0
Concevoir un modèle de contrôle d’accès	CMA_0129 – Concevoir un modèle de contrôle d’accès	Manuel, désactivé	1.1.0
Développer et établir un plan de sécurité des systèmes	CMA_0151 - Développer et établir un plan de sécurité des systèmes	Manuel, désactivé	1.1.0
Développer des stratégies et des procédures de sécurité des informations	CMA_0158 -Développer des stratégies et des procédures de sécurité des informations	Manuel, désactivé	1.1.0
Utiliser l’accès aux privilèges minimum	CMA_0212 – Utiliser l’accès aux privilèges minimum	Manuel, désactivé	1.1.0
Établir un programme de confidentialité	CMA_0257 - Établir un programme de confidentialité	Manuel, désactivé	1.1.0
Établir les exigences de sécurité pour la fabrication d’appareils connectés	CMA_0279 - Établir les exigences de sécurité pour la fabrication d’appareils connectés	Manuel, désactivé	1.1.0
Les comptes invités disposant d’autorisations de propriétaire sur les ressources Azure doivent être supprimés	Les comptes externes avec des autorisations de type propriétaire doivent être supprimés de votre abonnement pour empêcher un accès non contrôlé.	AuditIfNotExists, Désactivé	1.0.0
Les comptes invités disposant d’autorisations en lecture sur les ressources Azure doivent être supprimés	Les comptes externes avec des privilèges d'accès en lecture doivent être supprimés de votre abonnement afin d'empêcher un accès non contrôlé.	AuditIfNotExists, Désactivé	1.0.0
Les comptes invités disposant d’autorisations en écriture sur les ressources Azure doivent être supprimés	Les comptes externes avec des privilèges d'accès en écriture doivent être supprimés de votre abonnement afin d'empêcher un accès non contrôlé.	AuditIfNotExists, Désactivé	1.0.0
Implémenter les principes d’ingénierie de la sécurité des systèmes d’information	CMA_0325 - Implémenter les principes d’ingénierie de la sécurité des systèmes d’information	Manuel, désactivé	1.1.0
Les ports de gestion des machines virtuelles doivent être protégés par un contrôle d’accès réseau juste-à-temps	L’éventuel accès juste-à-temps (JIT) au réseau sera supervisé par Azure Security Center en tant que recommandation	AuditIfNotExists, Désactivé	3.0.0
Surveiller l’activité des comptes	CMA_0377 - Surveiller l’activité des comptes	Manuel, désactivé	1.1.0
Surveiller l’attribution de rôle privilégié	CMA_0378 – Surveiller l’attribution de rôle privilégié	Manuel, désactivé	1.1.0
Restreindre l’accès aux comptes privilégiés	CMA_0446 – Restreindre l’accès aux comptes privilégiés	Manuel, désactivé	1.1.0
Révoquer les rôles privilégiés selon les besoins	CMA_0483 – Révoquer les rôles privilégiés selon les besoins	Manuel, désactivé	1.1.0
Plusieurs propriétaires doivent être attribués à votre abonnement	Il est recommandé de désigner plusieurs propriétaires d'abonnement pour disposer de la redondance de l'accès administrateur.	AuditIfNotExists, Désactivé	3.0.0
Utiliser Privileged Identity Management	CMA_0533 – Utiliser la gestion des identités privilégiées	Manuel, désactivé	1.1.0

ID : Propriété SWIFT CSCF v2022 1.3 : Partagé

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Faire l’audit des machines virtuelles n’utilisant aucun disque managé	Cette stratégie fait l’audit des machines virtuelles n’utilisant pas de disque managé	audit	1.0.0
Implémenter la protection des limites des systèmes	CMA_0328 - Implémenter la protection des limites des systèmes	Manuel, désactivé	1.1.0

Contrôlez/protégez l’accès à Internet depuis les PC et systèmes de l’opérateur dans la zone sécurisée.

ID : Propriété SWIFT CSCF v2022 1.4 : Partagé

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
[Préversion] : L’ensemble du trafic Internet doit transiter par votre Pare-feu Azure déployé	Azure Security Center a détecté que certains de vos sous-réseaux ne sont pas protégés par un pare-feu de nouvelle génération. Protégez vos sous-réseaux contre les menaces potentielles en limitant leur accès avec le pare-feu Azure ou un pare-feu de nouvelle génération pris en charge	AuditIfNotExists, Désactivé	3.0.0-preview
Autoriser l’accès à distance	CMA_0024 – Autoriser l’accès à distance	Manuel, désactivé	1.1.0
Définir l’utilisation du chiffrement	CMA_0120 – Définir l’utilisation du chiffrement	Manuel, désactivé	1.1.0
Documenter et implémenter les instructions d’accès sans fil	CMA_0190 - Documenter et implémenter les instructions d’accès sans fil	Manuel, désactivé	1.1.0
Formation sur la mobilité des documents	CMA_0191 – Formation sur la mobilité des documents	Manuel, désactivé	1.1.0
Documentation des instructions d’accès à distance	CMA_0196 – Documentation des instructions d’accès à distance	Manuel, désactivé	1.1.0
Implémenter des contrôles pour sécuriser d’autres sites de travail	CMA_0315 – Implémenter des contrôles pour sécuriser d’autres sites de travail	Manuel, désactivé	1.1.0
Les machines virtuelles accessibles à partir d’Internet doivent être protégées avec des groupes de sécurité réseau	Protégez vos machines virtuelles contre les menaces potentielles en limitant leur accès avec des groupes de sécurité réseau (NSG). Pour en savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau, consultez https://aka.ms/nsg-doc.	AuditIfNotExists, Désactivé	3.0.0
Les machines virtuelles non connectées à Internet doivent être protégées avec des groupes de sécurité réseau	Protégez vos machines virtuelles non connectées à Internet contre les menaces potentielles en limitant l’accès avec des groupes de sécurité réseau (NSG). Pour en savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau, consultez https://aka.ms/nsg-doc.	AuditIfNotExists, Désactivé	3.0.0
Protéger l’accès sans fil	CMA_0411 - Protéger l’accès sans fil	Manuel, désactivé	1.1.0
Fournir une formation sur la confidentialité	CMA_0415 – Fournir une formation sur la confidentialité	Manuel, désactivé	1.1.0

Vérifiez la protection de l’infrastructure de connectivité du client à partir d’un environnement externe et des éléments potentiellement compromis de l’environnement informatique général.

ID : Propriété SWIFT CSCF v2022 1.5A : Partagé

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
[Préversion] : L’ensemble du trafic Internet doit transiter par votre Pare-feu Azure déployé	Azure Security Center a détecté que certains de vos sous-réseaux ne sont pas protégés par un pare-feu de nouvelle génération. Protégez vos sous-réseaux contre les menaces potentielles en limitant leur accès avec le pare-feu Azure ou un pare-feu de nouvelle génération pris en charge	AuditIfNotExists, Désactivé	3.0.0-preview
[Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Linux	Security Center utilise Microsoft Dependency Agent pour collecter les données du trafic réseau sur vos machines virtuelles Azure, afin d’activer des fonctionnalités avancées de protection réseau : visualisation du trafic sur le plan du réseau, recommandations de durcissement de la sécurité réseau et menaces réseau spécifiques.	AuditIfNotExists, Désactivé	1.0.2-preview
[Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Windows	Security Center utilise Microsoft Dependency Agent pour collecter les données du trafic réseau sur vos machines virtuelles Azure, afin d’activer des fonctionnalités avancées de protection réseau : visualisation du trafic sur le plan du réseau, recommandations de durcissement de la sécurité réseau et menaces réseau spécifiques.	AuditIfNotExists, Désactivé	1.0.2-preview
Les contrôles d’application adaptatifs pour définir les applications sécurisées doivent être activés sur vos machines	Activer les contrôles d’application pour définir la liste des applications reconnues fiables qui s’exécutent sur vos machines, et vous avertir quand d’autres applications s’exécutent. La sécurité de vos machines contre les logiciels malveillants s’en trouve renforcée. Pour simplifier le processus de configuration et de maintenance de vos règles, Security Center utilise le Machine Learning pour analyser les applications qui s’exécutent sur chaque machine et suggérer la liste des applications reconnues fiables.	AuditIfNotExists, Désactivé	3.0.0
Les recommandations de renforcement de réseau adaptatif doivent être appliquées sur les machines virtuelles accessibles à partir d’Internet	Azure Security Center analyse les tendances du trafic des machines virtuelles accessibles sur Internet et fournit des recommandations sur les règles de groupe de sécurité réseau à utiliser pour réduire la surface d’attaque potentielle	AuditIfNotExists, Désactivé	3.0.0
Tous les ports réseau doivent être restreints sur les groupes de sécurité réseau associés à votre machine virtuelle	Azure Security Center a identifié qu’une partie des règles de trafic entrant de vos groupes de sécurité réseau est trop permissive. Les règles de trafic entrant ne doivent pas autoriser l’accès à partir des plages « Tout » ou « Internet ». Cela peut permettre aux attaquants de cibler vos ressources.	AuditIfNotExists, Désactivé	3.0.0
Les applications App Service doivent utiliser un point de terminaison de service de réseau virtuel	Utilisez des points de terminaison de service de réseau virtuel pour restreindre l’accès à votre application à partir des sous-réseaux sélectionnés à partir d’un réseau virtuel Azure. Pour en savoir plus sur les points de terminaison de service App Service, consultez https://aka.ms/appservice-vnet-service-endpoint.	AuditIfNotExists, Désactivé	2.0.1
Azure DDoS Protection doit être activé	La protection DDoS doit être activée pour tous les réseaux virtuels avec un sous-réseau qui fait partie d’une passerelle applicative avec une adresse IP publique.	AuditIfNotExists, Désactivé	3.0.1
Azure Key Vault doit avoir le pare-feu activé	Activez le pare-feu du coffre de clés pour que le coffre de clés ne soit pas accessible par défaut aux adresses IP publiques. Vous pouvez éventuellement configurer des plages d’adresses IP spécifiques pour limiter l’accès à ces réseaux. Plus d’informations sur : https://docs.microsoft.com/azure/key-vault/general/network-security	Audit, Refuser, Désactivé	3.2.1
Flux d’informations de contrôle	CMA_0079 – Flux d’informations de contrôle	Manuel, désactivé	1.1.0
Utiliser la protection des limites pour isoler les systèmes d’information	CMA_C1639 - Utiliser la protection des limites pour isoler les systèmes d’information	Manuel, désactivé	1.1.0
Utiliser des mécanismes de contrôle de flux d’informations chiffrées	CMA_0211 – Utiliser des mécanismes de contrôle de flux d’informations chiffrées	Manuel, désactivé	1.1.0
Restrictions d’emploi sur les interconnexions de système externe	CMA_C1155 – Restrictions d’emploi sur les interconnexions de système externe	Manuel, désactivé	1.1.0
Établir des normes de configuration de pare-feu et de routeur	CMA_0272 – Établir des normes de configuration de pare-feu et de routeur	Manuel, désactivé	1.1.0
Établir une segmentation réseau pour l’environnement de données du titulaire de carte	CMA_0273 – Établir une segmentation réseau pour l’environnement de données du titulaire de carte	Manuel, désactivé	1.1.0
Identifier et gérer les échanges d’informations en aval	CMA_0298 – Identifier et gérer les échanges d’informations en aval	Manuel, désactivé	1.1.0
Implémenter une interface managée pour chaque service externe	CMA_C1626 - Implémenter une interface managée pour chaque service externe	Manuel, désactivé	1.1.0
Implémenter la protection des limites des systèmes	CMA_0328 - Implémenter la protection des limites des systèmes	Manuel, désactivé	1.1.0
Les machines virtuelles accessibles à partir d’Internet doivent être protégées avec des groupes de sécurité réseau	Protégez vos machines virtuelles contre les menaces potentielles en limitant leur accès avec des groupes de sécurité réseau (NSG). Pour en savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau, consultez https://aka.ms/nsg-doc.	AuditIfNotExists, Désactivé	3.0.0
Le transfert IP doit être désactivé sur votre machine virtuelle	L’activation du transfert IP sur la carte réseau d’une machine virtuelle permet à cette dernière de recevoir du trafic adressé à d’autres destinations. Le transfert IP n'est que rarement nécessaire (par exemple, lors de l'utilisation de la machine virtuelle en tant qu'appliance virtuelle de réseau). Par conséquent, un examen par l'équipe de sécurité réseau est requis.	AuditIfNotExists, Désactivé	3.0.0
Key Vault doit utiliser un point de terminaison de service de réseau virtuel	Cette stratégie audite Key Vault s’il n’est pas configuré pour utiliser un point de terminaison de service de réseau virtuel.	Audit, Désactivé	1.0.0
Network Watcher doit être activé	Network Watcher est un service régional qui vous permet de surveiller et de diagnostiquer l’état au niveau d’un scénario réseau dans, vers et depuis Azure. La surveillance au niveau des scénarios vous permet de diagnostiquer les problèmes avec une vue de bout en bout du réseau. Vous devez créer un groupe de ressources Network Watcher dans chaque région où un réseau virtuel est présent. Une alerte est activée dans le cas où aucun groupe de ressources Network Watcher n’est disponible dans une région donnée.	AuditIfNotExists, Désactivé	3.0.0
Les comptes de stockage doivent limiter l’accès réseau	L’accès réseau aux comptes de stockage doit être limité. Configurez les règles du réseau de telle manière que seules les applications des réseaux autorisés puissent accéder au compte de stockage. Pour autoriser les connexions de clients Internet ou locaux spécifiques, l’accès au trafic peut être autorisé à partir de réseaux virtuels Azure spécifiques ou vers des plages d’adresses IP Internet publiques.	Audit, Refuser, Désactivé	1.1.1
Les comptes de stockage doivent utiliser un point de terminaison de service de réseau virtuel	Cette stratégie audite les comptes de stockage non configurés pour utiliser un point de terminaison de service de réseau virtuel.	Audit, Désactivé	1.0.0
les sous-réseaux doivent être associés à un groupe de sécurité réseau	Protégez votre sous-réseau contre les menaces potentielles en y limitant l’accès avec un groupe de sécurité réseau (NSG). Les NSG contiennent une liste de règles de liste de contrôle d’accès (ACL) qui autorisent ou refusent le trafic réseau vers votre sous-réseau.	AuditIfNotExists, Désactivé	3.0.0
Les modèles VM Image Builder doivent utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à vos ressources de création VM Image Builder, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet.	Audit, Désactivé, Refus	1.1.0

2. Réduire la surface d’attaque et les vulnérabilités

ID : Propriété SWIFT CSCF v2022 2.1 : Partagé

Minimisez l’occurrence de vulnérabilités techniques connues sur les PC d’opérateur et dans l’infrastructure SWIFT locale en garantissant la prise en charge par le fournisseur, en appliquant des mises à jour logiciel obligatoires et en appliquant des correctifs de sécurité en temps opportun alignées sur le risque évalué.

ID : Propriété SWIFT CSCF v2022 2.2 : Partagé

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles sans identité	Cette stratégie ajoute une identité managée affectée par le système aux machines virtuelles hébergées dans Azure et qui sont prises en charge par Guest Configuration, mais qui n’ont pas d’identité managée. Une identité managée affectée par le système est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol.	modify	4.1.0
Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles qui ont une identité affectée par l’utilisateur	Cette stratégie ajoute une identité managée affectée par le système aux machines virtuelles, hébergées dans Azure, qui sont prises en charge par Guest Configuration et ont au moins une identité affectée par l’utilisateur, mais pas d’identité managée affectée par le système. Une identité managée affectée par le système est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol.	modify	4.1.0
Auditer les machines virtuelles Windows avec un redémarrage en attente	Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si la machine est en attente de redémarrage pour l’une des raisons suivantes : maintenance basée sur les composants, Windows Update, changement de nom de fichier en attente, changement de nom d’ordinateur en attente, redémarrage du gestionnaire de configuration en attente. Chaque détection a un chemin de Registre unique.	auditIfNotExists	2.0.0
Informations sur l’analyse de corrélation des vulnérabilités	CMA_C1558 - Informations sur l’analyse de corrélation des vulnérabilités	Manuel, désactivé	1.1.1
Déployer l’extension Guest Configuration Windows pour activer les affectations Guest Configuration sur les machines virtuelles Windows	Cette stratégie déploie l’extension Guest Configuration Windows sur les machines virtuelles Windows hébergées dans Azure qui sont prises en charge par Guest Configuration. L’extension Guest Configuration Windows est un prérequis pour toutes les affectations Guest Configuration Windows. Vous devez la déployer sur vos machines avant d’utiliser une définition de stratégie Guest Configuration Windows. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol.	deployIfNotExists	1.2.0
Diffuser les alertes de sécurité au personnel	CMA_C1705 - Diffuser les alertes de sécurité au personnel	Manuel, désactivé	1.1.0
Effectuer des analyses de vulnérabilité	CMA_0393 – Effectuer des analyses de vulnérabilité	Manuel, désactivé	1.1.0
Corriger les défauts du système d’information	CMA_0427 – Corriger les défauts du système d’information	Manuel, désactivé	1.1.0
Les mises à jour système sur les groupes de machines virtuelles identiques doivent être installées	Vérifiez si des mises à jour de sécurité système et des mises à jour critiques sont manquantes et doivent être installées pour assurer la sécurité de vos groupes de machines virtuelles identiques Windows et Linux.	AuditIfNotExists, Désactivé	3.0.0
Les mises à jour système doivent être installées sur vos machines	Les mises à jour système de sécurité manquantes sur vos serveurs seront supervisées par Azure Security Center en tant que recommandation	AuditIfNotExists, Désactivé	4.0.0
Utiliser des mécanismes automatisés pour les alertes de sécurité	CMA_C1707 - Utiliser des mécanismes automatisés pour les alertes de sécurité	Manuel, désactivé	1.1.0

ID : Propriété SWIFT CSCF v2022 2.3 : Partagé

Assurez-vous de la confidentialité, de l’intégrité et de l’authenticité mutuelle des flux de données entre les composants d’infrastructure SWIFT locaux ou distants et les premiers tronçons de back-office auxquels ils se connectent.

ID : Propriété SWIFT CSCF v2022 2.4 : Partagé

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Effectuer une sauvegarde de la documentation du système d’information	CMA_C1289 - Effectuer une sauvegarde de la documentation du système d’information	Manuel, désactivé	1.1.0
Configurer des stations de travail pour rechercher des certificats numériques	CMA_0073 – Configurer des stations de travail pour rechercher des certificats numériques	Manuel, désactivé	1.1.0
Établir des stratégies et des procédures de sauvegarde	CMA_0268 - Établir des stratégies et des procédures de sauvegarde	Manuel, désactivé	1.1.0
Implémenter des contrôles pour sécuriser tous les supports	CMA_0314 – Implémenter des contrôles pour sécuriser tous les supports	Manuel, désactivé	1.1.0
Avertir les utilisateurs de l’ouverture de session ou de l’accès au système	CMA_0382 - Avertir les utilisateurs de l’ouverture de session ou de l’accès au système	Manuel, désactivé	1.1.0
Protéger les données en transit à l’aide du chiffrement	CMA_0403 – Protéger les données en transit à l’aide du chiffrement	Manuel, désactivé	1.1.0
Protéger les mots de passe avec le chiffrement	CMA_0408 – Protéger les mots de passe avec le chiffrement	Manuel, désactivé	1.1.0

Sécurité du flux de données du back-office

ID: Propriété SWIFT CSCF v2022 2.4A : Client

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
L’authentification auprès des machines Linux doit exiger des clés SSH	Bien que le protocole SSH lui-même offre une connexion chiffrée, l’utilisation de mots de passe avec SSH laisse néanmoins la machine virtuelle vulnérable aux attaques en force brute. L’option la plus sûre pour l’authentification auprès d’une machine virtuelle Linux Azure via SSH est d’utiliser une paire de clés publique-privée, également appelées clés SSH. En savoir plus : https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed.	AuditIfNotExists, Désactivé	3.2.0
Les variables de compte Automation doivent être chiffrées	Il est important d’activer le chiffrement des ressources variables du compte Automation lors du stockage de données sensibles	Audit, Refuser, Désactivé	1.1.0
Les machines Windows doivent être configurées de façon à utiliser des protocoles de communication sécurisés	Pour protéger la confidentialité des informations communiquées sur Internet, vos machines doivent utiliser la dernière version du protocole de chiffrement standard, TLS (Transport Layer Security). TLS sécurise les communications sur un réseau en chiffrant une connexion entre les machines.	AuditIfNotExists, Désactivé	4.1.1

ID : Propriété SWIFT CSCF v2022 2.5 : Partagé

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Effectuer une sauvegarde de la documentation du système d’information	CMA_C1289 - Effectuer une sauvegarde de la documentation du système d’information	Manuel, désactivé	1.1.0
Configurer des stations de travail pour rechercher des certificats numériques	CMA_0073 – Configurer des stations de travail pour rechercher des certificats numériques	Manuel, désactivé	1.1.0
Établir des stratégies et des procédures de sauvegarde	CMA_0268 - Établir des stratégies et des procédures de sauvegarde	Manuel, désactivé	1.1.0
Implémenter des contrôles pour sécuriser tous les supports	CMA_0314 – Implémenter des contrôles pour sécuriser tous les supports	Manuel, désactivé	1.1.0
Gérer le transport des ressources	CMA_0370 - Gérer le transport des ressources	Manuel, désactivé	1.1.0
Protéger les données en transit à l’aide du chiffrement	CMA_0403 – Protéger les données en transit à l’aide du chiffrement	Manuel, désactivé	1.1.0
Protéger les mots de passe avec le chiffrement	CMA_0408 – Protéger les mots de passe avec le chiffrement	Manuel, désactivé	1.1.0

Protection des données de transmission externe

ID: Propriété SWIFT CSCF v2022 2.5A : Client

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Auditer des machines virtuelles pour lesquelles la reprise d’activité après sinistre n’est pas configurée	Auditez les machines virtuelles configurées sans reprise d’activité. Pour en savoir plus sur la reprise d’activité, consultez https://aka.ms/asr-doc.	auditIfNotExists	1.0.0
Faire l’audit des machines virtuelles n’utilisant aucun disque managé	Cette stratégie fait l’audit des machines virtuelles n’utilisant pas de disque managé	audit	1.0.0
Les variables de compte Automation doivent être chiffrées	Il est important d’activer le chiffrement des ressources variables du compte Automation lors du stockage de données sensibles	Audit, Refuser, Désactivé	1.1.0
La sauvegarde Azure doit être activée pour les machines virtuelles	Assurez la protection de vos machines virtuelles Azure en activant la sauvegarde Azure. La Sauvegarde Azure est une solution de protection des données sécurisée et économique pour Azure.	AuditIfNotExists, Désactivé	3.0.0
Le stockage géoredondant doit être activé pour les comptes de stockage	Utiliser la géoredondance pour créer des applications hautement disponibles	Audit, Désactivé	1.0.0
La sécurisation du transfert vers des comptes de stockage doit être activée	Auditer l’exigence de transfert sécurisé dans votre compte de stockage. L’option de sécurisation du transfert oblige votre compte de stockage à accepter uniquement des requêtes provenant de connexions sécurisées (HTTPS). L’utilisation de HTTPS garantit l’authentification entre le serveur et le service et protège les données en transit contre les attaques de la couche réseau (attaque de l’intercepteur ou « man-in-the-middle », écoute clandestine, détournement de session)	Audit, Refuser, Désactivé	2.0.0
Les machines virtuelles doivent chiffrer les disques temporaires, les caches et les flux de données entre les ressources de calcul et de stockage	Par défaut, le système d’exploitation et les disques de données d’une machine virtuelle sont chiffrés au repos à l’aide de clés gérées par la plateforme. Les disques temporaires, les caches de données et le flux de données entre le calcul et le stockage ne sont pas chiffrés. Ignorez cette recommandation dans les deux cas suivants : Vous utilisez le chiffrement sur l’hôte. Le chiffrement côté serveur des Disques managés répond à vos besoins en matière de sécurité. Pour en savoir plus, consultez : Chiffrement côté serveur de Stockage sur disque Azure : https://aka.ms/disksse, Différentes offres de chiffrement de disque : https://aka.ms/diskencryptioncomparison	AuditIfNotExists, Désactivé	2.0.3

ID : Propriété SWIFT CSCF v2022 2.6 : Partagé

Identifiez les vulnérabilités connues dans l’environnement SWIFT local en implémentant un processus d’analyse des vulnérabilités standard et en agissant en fonction des résultats.

ID : Propriété SWIFT CSCF v2022 2.7 : Partagé

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Une solution d’évaluation des vulnérabilités doit être activée sur vos machines virtuelles	Audite les machines virtuelles pour détecter si elles exécutent une solution d’évaluation des vulnérabilités prise en charge. L’identification et l’analyse des vulnérabilités constituent un composant fondamental de chaque programme de sécurité et d’évaluation des cyber-risques. Le niveau tarifaire Standard d’Azure Security Center comprend l’analyse des vulnérabilités de vos machines virtuelles sans coût supplémentaire. De plus, Security Center peut déployer cet outil automatiquement pour vous.	AuditIfNotExists, Désactivé	3.0.0
Azure Defender pour App Service doit être activé	Azure Defender pour App Service tire parti de l’envergure du cloud et de la visibilité dont Azure bénéficie en tant que fournisseur de cloud pour superviser les attaques d’applications web courantes.	AuditIfNotExists, Désactivé	1.0.3
Azure Defender pour Key Vault doit être activé	Azure Defender pour Key Vault fournit une couche de protection supplémentaire et une veille de sécurité qui détecte les tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des comptes Key Vault.	AuditIfNotExists, Désactivé	1.0.3
Azure Defender pour les serveurs doit être activé	Azure Defender pour les serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs, et génère des recommandations de durcissement, ainsi que des alertes sur les activités suspectes.	AuditIfNotExists, Désactivé	1.0.3
Informations sur l’analyse de corrélation des vulnérabilités	CMA_C1558 - Informations sur l’analyse de corrélation des vulnérabilités	Manuel, désactivé	1.1.1
Implémenter un accès privilégié pour l’exécution d’activités d’analyse des vulnérabilités	CMA_C1555 - Implémenter un accès privilégié pour l’exécution d’activités d’analyse des vulnérabilités	Manuel, désactivé	1.1.0
Incorporer la correction des défauts dans la gestion de configuration	CMA_C1671 - Incorporer la correction des défauts dans la gestion de configuration	Manuel, désactivé	1.1.0
Microsoft Defender pour le stockage doit être activé	Microsoft Defender pour le stockage détecte les menaces potentielles pour vos comptes de stockage. Il permet d’éviter les trois impacts majeurs sur vos données et votre charge de travail : les chargements de fichiers malveillants, l’exfiltration de données sensibles et l’altération des données. Le nouveau plan Defender pour le stockage inclut l’analyse des programmes malveillants et la détection des menaces de données sensibles. Ce plan fournit également une structure tarifaire prévisible (par compte de stockage) pour contrôler la couverture et les coûts.	AuditIfNotExists, Désactivé	1.0.0
Observer et signaler les failles de sécurité	CMA_0384 – Observer et signaler les failles de sécurité	Manuel, désactivé	1.1.0
Effectuer une analyse des tendances sur les menaces	CMA_0389 – Effectuer une analyse des tendances sur les menaces	Manuel, désactivé	1.1.0
Effectuer la modélisation des menaces	CMA_0392 - Effectuer la modélisation de menaces	Manuel, désactivé	1.1.0
Effectuer des analyses de vulnérabilité	CMA_0393 – Effectuer des analyses de vulnérabilité	Manuel, désactivé	1.1.0
Corriger les défauts du système d’information	CMA_0427 – Corriger les défauts du système d’information	Manuel, désactivé	1.1.0
Les vulnérabilités dans les configurations de la sécurité des conteneurs doivent être corrigées	Auditer les vulnérabilités dans la configuration de sécurité sur les machines où Docker est installé et afficher en tant que recommandations dans Azure Security Center.	AuditIfNotExists, Désactivé	3.0.0
Les vulnérabilités dans la configuration de la sécurité sur vos machines doivent être corrigées	Les serveurs qui ne respectent pas la base de référence configurée seront supervisés par Azure Security Center en tant que recommandation	AuditIfNotExists, Désactivé	3.1.0
Les vulnérabilités dans la configuration de la sécurité de vos groupes de machines virtuelles identiques doivent être corrigées	Auditez les vulnérabilités de système d’exploitation dans vos groupes de machines virtuelles identiques pour les protéger des attaques.	AuditIfNotExists, Désactivé	3.0.0

Garantissez une approche cohérente et efficace pour la surveillance de la messagerie des clients.

ID : Propriété SWIFT CSCF v2022 2.8.5 : Partagé

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Évaluer les risques dans les relations avec les tiers	CMA_0014 - Évaluer les risques dans les relations avec les tiers	Manuel, désactivé	1.1.0
Définir et documenter la supervision du secteur public	CMA_C1587 - Définir et documenter la supervision du secteur public	Manuel, désactivé	1.1.0
Définir les exigences pour la fourniture de biens et de services	CMA_0126 - Définir les exigences pour la fourniture de biens et de services	Manuel, désactivé	1.1.0
Déterminer les obligations des contrats fournisseur	CMA_0140 - Déterminer les obligations des contrats fournisseur	Manuel, désactivé	1.1.0
Établir des stratégies pour la gestion des risques liés à la chaîne d’approvisionnement	CMA_0275 - Établir des stratégies pour la gestion des risques liés à la chaîne d’approvisionnement	Manuel, désactivé	1.1.0
Exiger la conformité aux exigences de sécurité de la part des fournisseurs de services externes	CMA_C1586 - Exiger la conformité aux exigences de sécurité de la part des fournisseurs de services externes	Manuel, désactivé	1.1.0
Passer en revue la conformité du fournisseur de services cloud avec les stratégies et les contrats	CMA_0469 - Passer en revue la conformité du fournisseur de services cloud avec les stratégies et les contrats	Manuel, désactivé	1.1.0
Faire l’objet d’une révision de sécurité indépendante	CMA_0515 - Faire l’objet d’une révision de sécurité indépendante	Manuel, désactivé	1.1.0

Garantissez la protection de l’infrastructure SWIFT locale contre les risques exposés par la sous-traitance des activités critiques.

ID : Propriété SWIFT CSCF v2022 2.8A : Partagé

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Déterminer les obligations des contrats fournisseur	CMA_0140 - Déterminer les obligations des contrats fournisseur	Manuel, désactivé	1.1.0
Documenter les critères d’acceptation des contrats d’acquisition	CMA_0187 - Documenter les critères d’acceptation des contrats d’acquisition	Manuel, désactivé	1.1.0
Documenter la protection des données personnelles dans les contrats d’acquisition	CMA_0194 - Documenter la protection des données personnelles dans les contrats d’acquisition	Manuel, désactivé	1.1.0
Documenter la protection des informations de sécurité dans les contrats d’acquisition	CMA_0195 - Documenter la protection des informations de sécurité dans les contrats d’acquisition	Manuel, désactivé	1.1.0
Documenter les exigences pour l’utilisation des données partagées dans les contrats	CMA_0197 - Documenter les exigences pour l’utilisation des données partagées dans les contrats	Manuel, désactivé	1.1.0
Documenter les exigences d’assurance de sécurité dans les contrats d’acquisition	CMA_0199 - Documenter les exigences d’assurance de sécurité dans les contrats d’acquisition	Manuel, désactivé	1.1.0
Documenter les exigences de documentation de sécurité dans les contrats d’acquisition	CMA_0200 - Documenter les exigences de documentation de sécurité dans les contrats d’acquisition	Manuel, désactivé	1.1.0
Documenter les exigences fonctionnelles de sécurité dans les contrats d’acquisition	CMA_0201 - Documenter les exigences fonctionnelles de sécurité dans les contrats d’acquisition	Manuel, désactivé	1.1.0
Documenter les exigences de niveau de sécurité dans les contrats d’acquisition	CMA_0203 - Documenter les exigences de niveau de sécurité dans les contrats d’acquisition	Manuel, désactivé	1.1.0
Documenter l’environnement du système d’information dans les contrats d’acquisition	CMA_0205 - Documenter l’environnement du système d’information dans les contrats d’acquisition	Manuel, désactivé	1.1.0
Documenter la protection des données des détenteurs de carte dans les contrats de tiers	CMA_0207 - Documenter la protection des données des détenteurs de carte dans les contrats de tiers	Manuel, désactivé	1.1.0

Garantissez l’activité des transactions sortantes dans les limites attendues de l’activité normale.

ID : Propriété SWIFT CSCF v2022 2.9 : Partagé

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Autoriser, surveiller et contrôler la VoIP	CMA_0025 - Autoriser, surveiller et contrôler la VoIP	Manuel, désactivé	1.1.0
Flux d’informations de contrôle	CMA_0079 – Flux d’informations de contrôle	Manuel, désactivé	1.1.0
Utiliser des mécanismes de contrôle de flux d’informations chiffrées	CMA_0211 – Utiliser des mécanismes de contrôle de flux d’informations chiffrées	Manuel, désactivé	1.1.0
Implémenter la protection des limites des systèmes	CMA_0328 - Implémenter la protection des limites des systèmes	Manuel, désactivé	1.1.0
Gérer les passerelles	CMA_0363 – Gérer les passerelles	Manuel, désactivé	1.1.0
Effectuer une analyse des tendances sur les menaces	CMA_0389 – Effectuer une analyse des tendances sur les menaces	Manuel, désactivé	1.1.0
Router le trafic via des points d’accès réseau gérés	CMA_0484 - Router le trafic via des points d’accès réseau gérés	Manuel, désactivé	1.1.0

Limitez l’activité des transactions aux équivalents métier validés et approuvés.

ID : Propriété SWIFT CSCF v2022 2.11A : Partagé

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Autoriser l’accès aux fonctions et informations de sécurité	CMA_0022 – Autoriser l’accès aux fonctions et informations de sécurité	Manuel, désactivé	1.1.0
Autoriser et gérer l’accès	CMA_0023 – Autoriser et gérer l’accès	Manuel, désactivé	1.1.0
Concevoir un modèle de contrôle d’accès	CMA_0129 – Concevoir un modèle de contrôle d’accès	Manuel, désactivé	1.1.0
Utiliser l’accès aux privilèges minimum	CMA_0212 – Utiliser l’accès aux privilèges minimum	Manuel, désactivé	1.1.0
Appliquer l’accès logique	CMA_0245 – Appliquer l’accès logique	Manuel, désactivé	1.1.0
Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires	CMA_0246 – Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires	Manuel, désactivé	1.1.0
Réaffecter ou supprimer des privilèges utilisateur selon les besoins	CMA_C1040 – Réaffecter ou supprimer des privilèges utilisateur selon les besoins	Manuel, désactivé	1.1.0
Exiger une approbation pour la création de compte	CMA_0431 – Exiger une approbation pour la création de compte	Manuel, désactivé	1.1.0
Examiner les groupes d’utilisateurs et les applications ayant accès à des données sensibles	CMA_0481 – Examiner les groupes d’utilisateurs et les applications ayant accès à des données sensibles	Manuel, désactivé	1.1.0
Passer en revue les privilèges utilisateur	CMA_C1039 – Vérifier les privilèges utilisateur	Manuel, désactivé	1.1.0

3. Sécuriser physiquement l'environnement

Empêchez l’accès physique non autorisé aux équipements sensibles, aux environnements de travail, aux sites d’hébergement et au stockage.

ID : Propriété SWIFT CSCF v2022 3.1 : Partagé

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Faire l’audit des machines virtuelles n’utilisant aucun disque managé	Cette stratégie fait l’audit des machines virtuelles n’utilisant pas de disque managé	audit	1.0.0
Contrôler l’accès physique	CMA_0081 – Contrôler l’accès physique	Manuel, désactivé	1.1.0
Définir un processus de gestion des clés physiques	CMA_0115 – Définir un processus de gestion des clés physiques	Manuel, désactivé	1.1.0
Établir et tenir à jour un inventaire des ressources	CMA_0266 - Établir et tenir à jour un inventaire des ressources	Manuel, désactivé	1.1.0
Implémenter la sécurité physique pour les bureaux, les zones de travail et les zones sécurisées	CMA_0323 - Implémenter la sécurité physique pour les bureaux, les zones de travail et les zones sécurisées	Manuel, désactivé	1.1.0
Installer un système d’alarme	CMA_0338 - Installer un système d’alarme	Manuel, désactivé	1.1.0
Gérer un système de caméras de surveillance sécurisé	CMA_0354 - Gérer un système de caméras de surveillance sécurisé	Manuel, désactivé	1.1.0
Examiner et mettre à jour les stratégies et procédures physiques et environnementales	CMA_C1446 - Examiner et mettre à jour les stratégies et procédures physiques et environnementales	Manuel, désactivé	1.1.0

4. Empêcher la compromission des informations d’identification

Veillez à ce que les mots de passe soient suffisamment résistants contre les attaques courantes de mot de passe en implémentant et en appliquant une stratégie de mot de passe efficace.

ID : Propriété SWIFT CSCF v2022 4.1 : Partagé

ID : Propriété SWIFT CSCF v2022 4.2 : Partagé

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Les comptes disposant d’autorisations de propriétaire sur les ressources Azure doivent être compatibles avec l’authentification multifacteur	MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant d'autorisations de propriétaire afin d'éviter une violation des comptes ou des ressources.	AuditIfNotExists, Désactivé	1.0.0
Les comptes disposant d’autorisations en lecture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur	MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en lecture afin d'éviter une violation des comptes ou des ressources.	AuditIfNotExists, Désactivé	1.0.0
Les comptes disposant d’autorisations en écriture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur	MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en écriture pour éviter une violation des comptes ou des ressources.	AuditIfNotExists, Désactivé	1.0.0
Adopter des mécanismes d’authentification biométrique	CMA_0005 – Adopter des mécanismes d’authentification biométrique	Manuel, désactivé	1.1.0
Identifier et authentifier les périphériques réseau	CMA_0296 – Identifier et authentifier les périphériques réseau	Manuel, désactivé	1.1.0

5. Gérer les identités et séparer les privilèges

Appliquez les principes de sécurité de l’accès nécessaire, du privilège minimum et de la séparation des tâches pour les comptes d’opérateur.

ID : Propriété SWIFT CSCF v2022 5.1 : Partagé

Garantissez la gestion, le suivi et l’utilisation appropriés de l’authentification matérielle ou des jetons personnels (lorsque des jetons sont utilisés) connectés et déconnectés.

ID : Propriété SWIFT CSCF v2022 5.2 : Partagé

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Distribuer des authentificateurs	CMA_0184 – Distribuer des authentificateurs	Manuel, désactivé	1.1.0
Établir des types et des processus d’authentificateur	CMA_0267 - Établir des types et des processus d’authentificateur	Manuel, désactivé	1.1.0
Établir des procédures pour la distribution initiale de l’authentificateur	CMA_0276 - Établir des procédures pour la distribution initiale de l’authentificateur	Manuel, désactivé	1.1.0
Les ports de gestion des machines virtuelles doivent être protégés par un contrôle d’accès réseau juste-à-temps	L’éventuel accès juste-à-temps (JIT) au réseau sera supervisé par Azure Security Center en tant que recommandation	AuditIfNotExists, Désactivé	3.0.0
Vérifier l’identité avant de distribuer les authentificateurs	CMA_0538 - Vérifier l’identité avant de distribuer les authentificateurs	Manuel, désactivé	1.1.0

Dans la mesure où cela est autorisé et réalisable, garantissez la fiabilité du personnel qui travaille dans l’environnement SWIFT local en effectuant un contrôle régulier du personnel.

ID : Propriété SWIFT CSCF v2022 5.3A : Partagé

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Habiliter le personnel ayant accès aux informations classifiées	CMA_0054 - Habiliter le personnel ayant accès aux informations classifiées	Manuel, désactivé	1.1.0
Vérifier que les contrats d’accès sont signés ou dénoncés en temps voulu	CMA_C1528 - Vérifier que les contrats d’accès sont signés ou dénoncés en temps voulu	Manuel, désactivé	1.1.0
Implémenter le filtrage du personnel	CMA_0322 - Implémenter le filtrage du personnel	Manuel, désactivé	1.1.0
Protéger des informations spéciales	CMA_0409 – Protéger des informations spéciales	Manuel, désactivé	1.1.0
Refiltrer les personnes à une fréquence définie	CMA_C1512 - Refiltrer les personnes à une fréquence définie	Manuel, désactivé	1.1.0

Protégez physiquement et logiquement le référentiel des mots de passe enregistrés.

ID : Propriété SWIFT CSCF v2022 5.4 : Partagé

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Auditer les machines Windows qui ne stockent pas les mots de passe à l’aide du chiffrement réversible	Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Windows ne sont pas conformes si elles ne stockent pas les mots de passe à l’aide du chiffrement réversible	AuditIfNotExists, Désactivé	2.0.0
Documenter les exigences de niveau de sécurité dans les contrats d’acquisition	CMA_0203 - Documenter les exigences de niveau de sécurité dans les contrats d’acquisition	Manuel, désactivé	1.1.0
Établir une stratégie de mot de passe	CMA_0256 - Établir une stratégie de mot de passe	Manuel, désactivé	1.1.0
Implémenter des paramètres pour les vérificateurs de secrets mémorisés	CMA_0321 - Implémenter des paramètres pour les vérificateurs de secrets mémorisés	Manuel, désactivé	1.1.0
La protection contre la suppression doit être activée pour les coffres de clés	La suppression malveillante d’un coffre de clés peut entraîner une perte définitive des données. Vous pouvez empêcher la perte permanente de données en activant la protection contre la suppression définitive et la suppression réversible. La protection contre la suppression définitive vous protège des attaques internes en appliquant une période de conservation obligatoire pour les coffres de clés supprimés de manière réversible. Personne au sein de votre organisation ni chez Microsoft ne pourra supprimer définitivement vos coffres de clés pendant la période de conservation de la suppression réversible. N’oubliez pas que la suppression réversible est activée par défaut pour les coffres de clés créés après le 1er septembre 2019.	Audit, Refuser, Désactivé	2.1.0
Protéger les mots de passe avec le chiffrement	CMA_0408 – Protéger les mots de passe avec le chiffrement	Manuel, désactivé	1.1.0

6. Détecter les activités anormales dans les systèmes ou les enregistrements de transaction

Veillez à ce que l’infrastructure SWIFT locale soit protégée contre les programmes malveillants, puis agissez en fonction des résultats.

ID : Propriété SWIFT CSCF v2022 6.1 : Partagé

ID : Propriété SWIFT CSCF v2022 6.2 : Partagé

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Configurer des stations de travail pour rechercher des certificats numériques	CMA_0073 – Configurer des stations de travail pour rechercher des certificats numériques	Manuel, désactivé	1.1.0
Utiliser l’arrêt/redémarrage automatique lorsque des violations sont détectées	CMA_C1715 – Utiliser l’arrêt/redémarrage automatique lorsque des violations sont détectées	Manuel, désactivé	1.1.0
Protéger les données en transit à l’aide du chiffrement	CMA_0403 – Protéger les données en transit à l’aide du chiffrement	Manuel, désactivé	1.1.0
Protéger les mots de passe avec le chiffrement	CMA_0408 – Protéger les mots de passe avec le chiffrement	Manuel, désactivé	1.1.0
Vérifier l’intégrité des logiciels, des microprogrammes et des informations	CMA_0542 – Vérifier l’intégrité des logiciels, des microprogrammes et des informations	Manuel, désactivé	1.1.0
Visualiser et configurer les données de diagnostic système	CMA_0544 - Visualiser et configurer les données de diagnostic système	Manuel, désactivé	1.1.0

Garantissez l’intégrité des enregistrements de base de données pour l’interface de messagerie SWIFT ou le connecteur client, puis agissez en fonction des résultats.

ID : Propriété SWIFT CSCF v2022 6.3 : Partagé

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Vérifier l’intégrité des logiciels, des microprogrammes et des informations	CMA_0542 – Vérifier l’intégrité des logiciels, des microprogrammes et des informations	Manuel, désactivé	1.1.0
Visualiser et configurer les données de diagnostic système	CMA_0544 - Visualiser et configurer les données de diagnostic système	Manuel, désactivé	1.1.0

Enregistrez les événements de sécurité, puis détectez les actions et les opérations anormales dans l’environnement SWIFT local.

ID : Propriété SWIFT CSCF v2022 6.4 : Partagé

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
[Préversion] : L’extension Log Analytics doit être activée pour les images de machine virtuelle listées	Signale les machines virtuelles comme non conformes si l’image de machine virtuelle n’est pas dans la liste définie et que l’extension n’est pas installée.	AuditIfNotExists, Désactivé	2.0.1-preview
[Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Linux	Security Center utilise Microsoft Dependency Agent pour collecter les données du trafic réseau sur vos machines virtuelles Azure, afin d’activer des fonctionnalités avancées de protection réseau : visualisation du trafic sur le plan du réseau, recommandations de durcissement de la sécurité réseau et menaces réseau spécifiques.	AuditIfNotExists, Désactivé	1.0.2-preview
[Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Windows	Security Center utilise Microsoft Dependency Agent pour collecter les données du trafic réseau sur vos machines virtuelles Azure, afin d’activer des fonctionnalités avancées de protection réseau : visualisation du trafic sur le plan du réseau, recommandations de durcissement de la sécurité réseau et menaces réseau spécifiques.	AuditIfNotExists, Désactivé	1.0.2-preview
Le journal d’activité doit être conservé pendant au moins un an	Cette stratégie audite le journal d’activité si la conservation n’est pas définie sur 365 jours ou sur toujours (jours de conservation définis sur 0).	AuditIfNotExists, Désactivé	1.0.0
Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles sans identité	Cette stratégie ajoute une identité managée affectée par le système aux machines virtuelles hébergées dans Azure et qui sont prises en charge par Guest Configuration, mais qui n’ont pas d’identité managée. Une identité managée affectée par le système est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol.	modify	4.1.0
Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles qui ont une identité affectée par l’utilisateur	Cette stratégie ajoute une identité managée affectée par le système aux machines virtuelles, hébergées dans Azure, qui sont prises en charge par Guest Configuration et ont au moins une identité affectée par l’utilisateur, mais pas d’identité managée affectée par le système. Une identité managée affectée par le système est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol.	modify	4.1.0
Toutes les ressources du journal de flux doivent être en état activé	Auditez les ressources du journal de flux pour vérifier si l’état du journal de flux est activé. L’activation des journaux de flux permet de journaliser des informations sur la circulation du trafic IP. Il peut être utilisé pour optimiser les flux réseau, surveiller le débit, vérifier la conformité, détecter les intrusions, etc.	Audit, Désactivé	1.0.1
Les applications App Service doivent avoir activé les journaux des ressources	Auditez l’activation des journaux de ressources sur l’application. Permet de recréer les pistes d’activité à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau.	AuditIfNotExists, Désactivé	2.0.1
Auditer les fonctions privilégiées	CMA_0019 – Auditer les fonctions privilégiées	Manuel, désactivé	1.1.0
Auditer l’état du compte d’utilisateur	CMA_0020 – Auditer l’état du compte d’utilisateur	Manuel, désactivé	1.1.0
Auditer des machines virtuelles pour lesquelles la reprise d’activité après sinistre n’est pas configurée	Auditez les machines virtuelles configurées sans reprise d’activité. Pour en savoir plus sur la reprise d’activité, consultez https://aka.ms/asr-doc.	auditIfNotExists	1.0.0
Le provisionnement automatique de l’agent Log Analytics doit être activé sur votre abonnement	Pour superviser les menaces et les vulnérabilités de sécurité, Azure Security Center collecte des données à partir de vos machines virtuelles Azure. Les données sont collectées par l’agent Log Analytics, auparavant appelé Microsoft Monitoring Agent (MMA). Cet agent lit divers journaux d’événements et configurations liés à la sécurité de la machine, puis copie les données dans votre espace de travail Log Analytics à des fins d’analyse. Nous vous recommandons d’activer l’approvisionnement automatique pour déployer automatiquement l’agent sur toutes les machines virtuelles Azure prises en charge et sur toutes celles qui sont créées.	AuditIfNotExists, Désactivé	1.0.1
La sauvegarde Azure doit être activée pour les machines virtuelles	Assurez la protection de vos machines virtuelles Azure en activant la sauvegarde Azure. La Sauvegarde Azure est une solution de protection des données sécurisée et économique pour Azure.	AuditIfNotExists, Désactivé	3.0.0
Azure Defender pour App Service doit être activé	Azure Defender pour App Service tire parti de l’envergure du cloud et de la visibilité dont Azure bénéficie en tant que fournisseur de cloud pour superviser les attaques d’applications web courantes.	AuditIfNotExists, Désactivé	1.0.3
Azure Defender pour Key Vault doit être activé	Azure Defender pour Key Vault fournit une couche de protection supplémentaire et une veille de sécurité qui détecte les tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des comptes Key Vault.	AuditIfNotExists, Désactivé	1.0.3
Azure Defender pour les serveurs doit être activé	Azure Defender pour les serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs, et génère des recommandations de durcissement, ainsi que des alertes sur les activités suspectes.	AuditIfNotExists, Désactivé	1.0.3
Le profil de journal Azure Monitor doit collecter des journaux pour les catégories « écriture », « suppression » et « action »	Cette stratégie garantit qu’un profil de journal collecte les journaux pour les catégories « write », « delete » et « action »	AuditIfNotExists, Désactivé	1.0.0
Les clusters de journaux Azure Monitor doivent être créés avec le chiffrement d’infrastructure activé (chiffrement double)	Pour que le chiffrement des données sécurisées soit activé au niveau du service et de l’infrastructure avec deux algorithmes de chiffrement différents et deux clés différentes, utilisez un cluster Azure Monitor dédié. Cette option est activée par défaut quand elle est prise en charge dans la région ; consultez https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview.	audit, Audit, refus, Refus, désactivé, Désactivé	1.1.0
Les clusters de journaux Azure Monitor doivent être chiffrés avec une clé gérée par le client	Créez un cluster de journaux Azure Monitor avec un chiffrement au moyen de clés gérées par le client. Par défaut, les données des journaux sont chiffrées avec des clés gérées par le service, mais des clés gérées par le client sont généralement requises pour répondre à la conformité réglementaire. La clé gérée par le client dans Azure Monitor vous donne davantage de contrôle sur l’accès à vos données ; consultez https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys.	audit, Audit, refus, Refus, désactivé, Désactivé	1.1.0
Les journaux Azure Monitor pour Application Insights doivent être liés à un espace de travail Log Analytics	Liez le composant Application Insights à un espace de travail Log Analytics pour le chiffrement des journaux. Les clés gérées par le client sont généralement nécessaires pour respecter la conformité réglementaire et pour mieux contrôler l’accès à vos données dans Azure Monitor. Si vous liez votre composant à un espace de travail Log Analytics qui est activé avec une clé gérée par le client, vous êtes sûr que vos journaux Application Insights répondent à cette exigence de conformité ; consultez https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys.	audit, audit, refus, refus, désactivé, désactivé	1.1.0
Azure Monitor doit collecter les journaux d’activité dans toutes les régions	Cette stratégie effectue l’audit du profil de journal Azure Monitor qui n’exporte pas d’activités à partir de toutes les régions Azure prises en charge, notamment la région globale.	AuditIfNotExists, Désactivé	2.0.0
La solution 'Security and Audit' d’Azure Monitor doit être déployée	Cette stratégie garantit que la solution Security and Audit est déployée.	AuditIfNotExists, Désactivé	1.0.0
Mettre en corrélation les enregistrements d’audit	CMA_0087 - Mettre en corrélation les enregistrements d’audit	Manuel, désactivé	1.1.0
Déployer l’extension Guest Configuration Windows pour activer les affectations Guest Configuration sur les machines virtuelles Windows	Cette stratégie déploie l’extension Guest Configuration Windows sur les machines virtuelles Windows hébergées dans Azure qui sont prises en charge par Guest Configuration. L’extension Guest Configuration Windows est un prérequis pour toutes les affectations Guest Configuration Windows. Vous devez la déployer sur vos machines avant d’utiliser une définition de stratégie Guest Configuration Windows. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol.	deployIfNotExists	1.2.0
Déterminer les événements auditables	CMA_0137 – Déterminer les événements auditables	Manuel, désactivé	1.1.0
Établir des exigences pour la révision et la création de rapports d’audit	CMA_0277 - Établir des exigences pour la révision et la création de rapports d’audit	Manuel, désactivé	1.1.0
Les journaux de flux doivent être configurés pour chaque groupe de sécurité réseau	Auditez les groupes de sécurité réseau pour vérifier si les journaux de flux sont configurés. Activer les journaux de flux permet de consigner des informations sur le trafic IP circulant dans un groupe de sécurité réseau. Il peut être utilisé pour optimiser les flux réseau, surveiller le débit, vérifier la conformité, détecter les intrusions, etc.	Audit, Désactivé	1.1.0
Intégrer la révision d’audit, l’analyse et la création de rapports	CMA_0339 - Intégrer la révision d’audit, l’analyse et la création de rapports	Manuel, désactivé	1.1.0
Intégrer la sécurité des applications cloud à un SIEM	CMA_0340 - Intégrer la sécurité des applications cloud à un SIEM	Manuel, désactivé	1.1.0
L’extension Log Analytics doit être activée dans les groupes de machines virtuelles identiques pour les images de machines virtuelles listées	Signale que les groupes de machines virtuelles identiques ne sont pas conformes si l’image de machine virtuelle n’est pas dans la liste définie et que l’extension n’est pas installée.	AuditIfNotExists, Désactivé	2.0.1
Microsoft Defender pour le stockage doit être activé	Microsoft Defender pour le stockage détecte les menaces potentielles pour vos comptes de stockage. Il permet d’éviter les trois impacts majeurs sur vos données et votre charge de travail : les chargements de fichiers malveillants, l’exfiltration de données sensibles et l’altération des données. Le nouveau plan Defender pour le stockage inclut l’analyse des programmes malveillants et la détection des menaces de données sensibles. Ce plan fournit également une structure tarifaire prévisible (par compte de stockage) pour contrôler la couverture et les coûts.	AuditIfNotExists, Désactivé	1.0.0
Traffic Analytics doit être activé pour les journaux de flux Network Watcher	Traffic Analytics examine les journaux de flux pour fournir des informations sur le flux de trafic de votre cloud Azure. Il peut être utilisé pour visualiser l’activité réseau de vos abonnements Azure ainsi que pour identifier les points d’accès, identifier les menaces de sécurité, comprendre les modèles de flux de trafic, identifier les problèmes de configuration réseau, etc.	Audit, Désactivé	1.0.1
Effectuer des analyses de vulnérabilité	CMA_0393 – Effectuer des analyses de vulnérabilité	Manuel, désactivé	1.1.0
Fournir des alertes en temps réel pour les échecs d’événements d’audit	CMA_C1114 – Fournir des alertes en temps réel pour les échecs d’événements d’audit	Manuel, désactivé	1.1.0
Corriger les défauts du système d’information	CMA_0427 – Corriger les défauts du système d’information	Manuel, désactivé	1.1.0
Les journaux de ressources dans les comptes Batch doivent être activés	Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau.	AuditIfNotExists, Désactivé	5.0.0
Les journaux de ressources dans Key Vault doivent être activés	Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau	AuditIfNotExists, Désactivé	5.0.0
Les journaux de ressources dans Logic Apps doivent être activés	Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau.	AuditIfNotExists, Désactivé	5.1.0
Les journaux de ressources dans les services Search doivent être activés	Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau.	AuditIfNotExists, Désactivé	5.0.0
Les journaux de ressources dans Service Bus doivent être activés	Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau.	AuditIfNotExists, Désactivé	5.0.0
Examiner les journaux d’approvisionnement de compte	CMA_0460 – Examiner les journaux d’approvisionnement de compte	Manuel, désactivé	1.1.0
Passer en revue les affectations d’administrateurs toutes les semaines	CMA_0461 - Passer en revue les affectations d’administrateurs toutes les semaines	Manuel, désactivé	1.1.0
Vérifier les journaux d'audit	CMA_0466 – Examiner les données d’audit	Manuel, désactivé	1.1.0
Passer en revue la vue d’ensemble du rapport des identités cloud	CMA_0468 - Passer en revue la vue d’ensemble du rapport des identités cloud	Manuel, désactivé	1.1.0
Passer en revue les événements accès contrôlé aux dossiers	CMA_0471 - Passer en revue les événements d’accès contrôlé aux dossiers	Manuel, désactivé	1.1.0
Examiner les événements de protection contre l’exploitation	CMA_0472 – Examiner les événements de protection contre l’exploitation	Manuel, désactivé	1.1.0
Examiner l’activité des fichiers et des dossiers	CMA_0473 - Examiner l’activité des fichiers et des dossiers	Manuel, désactivé	1.1.0
Passer en revue les modifications apportées aux groupes de rôles chaque semaine	CMA_0476 - Passer en revue les modifications apportées aux groupes de rôles chaque semaine	Manuel, désactivé	1.1.0
Les requêtes enregistrées dans Azure Monitor doivent être enregistrées dans le compte de stockage du client pour le chiffrement des journaux	Liez le compte de stockage à un espace de travail Log Analytics pour protéger les requêtes enregistrées avec le chiffrement du compte de stockage. Les clés gérées par le client sont généralement nécessaires pour respecter la conformité réglementaire et pour mieux contrôler l’accès à vos requêtes enregistrées dans Azure Monitor. Pour plus d’informations, consultez https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries.	audit, Audit, refus, Refus, désactivé, Désactivé	1.1.0
Le compte de stockage disposant du conteneur des journaux d’activité doit être chiffré avec BYOK	Cette stratégie vérifie si le compte de stockage disposant du conteneur des journaux d’activité est chiffré avec BYOK. La stratégie fonctionne uniquement si le compte de stockage se trouve par défaut dans le même abonnement que les journaux d’activité. Vous trouverez plus d’informations sur le chiffrement du stockage Azure au repos ici https://aka.ms/azurestoragebyok.	AuditIfNotExists, Désactivé	1.0.0
L’extension Log Analytics doit être installée sur les groupes de machines virtuelles identiques	Cette stratégie audite les groupes de machines virtuelles identiques Windows/Linux si l’extension Log Analytics n’est pas installée.	AuditIfNotExists, Désactivé	1.0.1
L’extension Log Analytics doit être installée sur les machines virtuelles	Cette stratégie audite toutes les machines virtuelles Windows/Linux si l’extension Log Analytics n’est pas installée.	AuditIfNotExists, Désactivé	1.0.1

Détectez puis maîtrisez une activité réseau anormale en direction et à l’intérieur l’environnement SWIFT local ou distant.

ID : Propriété SWIFT CSCF v2022 6.5A : Partagé

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
[Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Linux	Security Center utilise Microsoft Dependency Agent pour collecter les données du trafic réseau sur vos machines virtuelles Azure, afin d’activer des fonctionnalités avancées de protection réseau : visualisation du trafic sur le plan du réseau, recommandations de durcissement de la sécurité réseau et menaces réseau spécifiques.	AuditIfNotExists, Désactivé	1.0.2-preview
[Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Windows	Security Center utilise Microsoft Dependency Agent pour collecter les données du trafic réseau sur vos machines virtuelles Azure, afin d’activer des fonctionnalités avancées de protection réseau : visualisation du trafic sur le plan du réseau, recommandations de durcissement de la sécurité réseau et menaces réseau spécifiques.	AuditIfNotExists, Désactivé	1.0.2-preview
Les recommandations de renforcement de réseau adaptatif doivent être appliquées sur les machines virtuelles accessibles à partir d’Internet	Azure Security Center analyse les tendances du trafic des machines virtuelles accessibles sur Internet et fournit des recommandations sur les règles de groupe de sécurité réseau à utiliser pour réduire la surface d’attaque potentielle	AuditIfNotExists, Désactivé	3.0.0
Alerter le personnel d’un débordement d’informations	CMA_0007 – Alerter le personnel d’un débordement d’informations	Manuel, désactivé	1.1.0
Autoriser, surveiller et contrôler la VoIP	CMA_0025 - Autoriser, surveiller et contrôler la VoIP	Manuel, désactivé	1.1.0
Azure Defender pour App Service doit être activé	Azure Defender pour App Service tire parti de l’envergure du cloud et de la visibilité dont Azure bénéficie en tant que fournisseur de cloud pour superviser les attaques d’applications web courantes.	AuditIfNotExists, Désactivé	1.0.3
Azure Defender pour Key Vault doit être activé	Azure Defender pour Key Vault fournit une couche de protection supplémentaire et une veille de sécurité qui détecte les tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des comptes Key Vault.	AuditIfNotExists, Désactivé	1.0.3
Azure Defender pour les serveurs doit être activé	Azure Defender pour les serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs, et génère des recommandations de durcissement, ainsi que des alertes sur les activités suspectes.	AuditIfNotExists, Désactivé	1.0.3
Détecter les services réseau qui n’ont pas été autorisés ou approuvés	CMA_C1700 – Détecter les services réseau qui n’ont pas été autorisés ou approuvés	Manuel, désactivé	1.1.0
Mettez sur pied un plan de réponse en cas d'incident	CMA_0145 – Développer un plan de réponse aux incidents	Manuel, désactivé	1.1.0
Documenter les opérations de sécurité	CMA_0202 – Documenter les opérations de sécurité	Manuel, désactivé	1.1.0
Implémenter la protection des limites des systèmes	CMA_0328 - Implémenter la protection des limites des systèmes	Manuel, désactivé	1.1.0
Gérer les passerelles	CMA_0363 – Gérer les passerelles	Manuel, désactivé	1.1.0
Microsoft Defender pour le stockage doit être activé	Microsoft Defender pour le stockage détecte les menaces potentielles pour vos comptes de stockage. Il permet d’éviter les trois impacts majeurs sur vos données et votre charge de travail : les chargements de fichiers malveillants, l’exfiltration de données sensibles et l’altération des données. Le nouveau plan Defender pour le stockage inclut l’analyse des programmes malveillants et la détection des menaces de données sensibles. Ce plan fournit également une structure tarifaire prévisible (par compte de stockage) pour contrôler la couverture et les coûts.	AuditIfNotExists, Désactivé	1.0.0
Network Watcher doit être activé	Network Watcher est un service régional qui vous permet de surveiller et de diagnostiquer l’état au niveau d’un scénario réseau dans, vers et depuis Azure. La surveillance au niveau des scénarios vous permet de diagnostiquer les problèmes avec une vue de bout en bout du réseau. Vous devez créer un groupe de ressources Network Watcher dans chaque région où un réseau virtuel est présent. Une alerte est activée dans le cas où aucun groupe de ressources Network Watcher n’est disponible dans une région donnée.	AuditIfNotExists, Désactivé	3.0.0
Router le trafic via des points d’accès réseau gérés	CMA_0484 - Router le trafic via des points d’accès réseau gérés	Manuel, désactivé	1.1.0
Définir des notifications automatisées pour les applications cloud nouvelles et populaires dans votre organisation	CMA_0495 – Définir des notifications automatisées pour les applications cloud nouvelles et populaires dans votre organisation	Manuel, désactivé	1.1.0
Activer les capteurs pour la solution de sécurité de point de terminaison	CMA_0514 – Activer les capteurs pour la solution de sécurité de point de terminaison	Manuel, désactivé	1.1.0

Garantissez une approche cohérente et efficace de la gestion des cyber-incidents.

ID : Propriété SWIFT CSCF v2022 7.1 : Partagé

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Résoudre les problèmes de sécurité des informations	CMA_C1742 - Résoudre les problèmes de sécurité des informations	Manuel, désactivé	1.1.0
La notification par e-mail pour les alertes à gravité élevée doit être activée	Pour informer les personnes concernées de votre organisation d’une violation de sécurité potentielle dans l’un de vos abonnements, activez les notifications par e-mail pour les alertes à gravité élevée dans Security Center.	AuditIfNotExists, Désactivé	1.1.0
La notification par e-mail au propriétaire de l’abonnement pour les alertes à gravité élevée doit être activée	Pour informer les propriétaires d’abonnement d’une violation de sécurité potentielle dans leur abonnement, activez l’envoi de notifications par e-mail à ces propriétaires pour les alertes à gravité élevée dans Security Center.	AuditIfNotExists, Désactivé	2.1.0
Identifier les classes d’incidents et d’actions prises	CMA_C1365 - Identifier les classes d’incidents et d’actions effectuées	Manuel, désactivé	1.1.0
Incorporer les événements simulés dans la formation sur la réponse aux incidents	CMA_C1356 – Incorporer les événements simulés dans la formation sur la réponse aux incidents	Manuel, désactivé	1.1.0
Fournir une formation sur les fuites d’informations	CMA_0413 - Fournir une formation sur les fuites d’informations	Manuel, désactivé	1.1.0
Passer en revue et mettre à jour les stratégies et les procédures de réponse aux incidents	CMA_C1352 - Passer en revue et mettre à jour les stratégies et les procédures de réponse aux incidents	Manuel, désactivé	1.1.0
Les abonnements doivent avoir l’adresse e-mail d’un contact pour le signalement des problèmes de sécurité	Pour informer les personnes concernées de votre organisation d’une violation de sécurité potentielle dans l’un de vos abonnements, définissez un contact de sécurité qui recevra des notifications par e-mail dans Security Center.	AuditIfNotExists, Désactivé	1.0.1

Vérifiez que tous les membres du personnel sont conscients de leurs responsabilités en matière de sécurité et assument ces responsabilités. Pour cela, effectuez des activités de sensibilisation régulières, puis entretenez les connaissances du personnel disposant d’un accès privilégié en matière de sécurité.

ID : Propriété SWIFT CSCF v2022 7.2 : Partagé

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Documenter les activités de formation à la sécurité et à la confidentialité	CMA_0198 - Documenter les activités de formation à la sécurité et à la confidentialité	Manuel, désactivé	1.1.0
Fournir une formation périodique sur la sécurité basée sur les rôles	CMA_C1095 - Fournir une formation périodique sur la sécurité basée sur les rôles	Manuel, désactivé	1.1.0
Fournir une formation périodique sur la sensibilisation à la sécurité	CMA_C1091 - Fournir une formation périodique sur la sensibilisation à la sécurité	Manuel, désactivé	1.1.0
Fournir une formation sur la confidentialité	CMA_0415 – Fournir une formation sur la confidentialité	Manuel, désactivé	1.1.0
Fournir des exercices pratiques basés sur des rôles	CMA_C1096 – Fournir des exercices pratiques basés sur des rôles	Manuel, désactivé	1.1.0
Fournir une formation sur la sécurité basée sur les rôles	CMA_C1094 - Fournir une formation sur la sécurité basée sur les rôles	Manuel, désactivé	1.1.0
Fournir une formation basée sur les rôles sur les activités suspectes	CMA_C1097 – Fournir une formation basée sur les rôles sur les activités suspectes	Manuel, désactivé	1.1.0
Fournir une formation de sensibilisation à la sécurité pour les menaces internes	CMA_0417 – Fournir une formation de sensibilisation à la sécurité pour les menaces internes	Manuel, désactivé	1.1.0
Fournir une formation sur la sécurité avant de fournir l’accès	CMA_0418 - Fournir une formation sur la sécurité avant de fournir l’accès	Manuel, désactivé	1.1.0
Fournir une formation sur la sécurité pour les nouveaux utilisateurs	CMA_0419 - Fournir une formation sur la sécurité pour les nouveaux utilisateurs	Manuel, désactivé	1.1.0
Fournir une formation de sensibilisation à la sécurité mise à jour	CMA_C1090 - Fournir une formation de sensibilisation à la sécurité mise à jour	Manuel, désactivé	1.1.0

Validez la configuration de sécurité opérationnelle, puis identifiez les failles de sécurité en effectuant des tests d’intrusion.

ID : Propriété SWIFT CSCF v2022 7.3A : Partagé

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Utiliser une équipe indépendante pour les tests d’intrusion	CMA_C1171 - Utiliser une équipe indépendante pour les tests d’intrusion	Manuel, désactivé	1.1.0
Exiger des développeurs qu’ils créent une architecture de sécurité	CMA_C1612 - Exiger des développeurs qu’ils créent une architecture de sécurité	Manuel, désactivé	1.1.0

Évaluez les risques et la préparation de l’organisation en fonction des scénarios de cyberattaque plausibles.

ID : Propriété SWIFT CSCF v2022 7.4A : Partagé

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Effectuer une évaluation des risques	CMA_C1543 - Effectuer une évaluation des risques	Manuel, désactivé	1.1.0
Effectuer une évaluation des risques et distribuer ses résultats	CMA_C1544 - Effectuer une évaluation des risques et distribuer ses résultats	Manuel, désactivé	1.1.0
Effectuer l’évaluation des risques et documenter ses résultats	CMA_C1542 - Effectuer l’évaluation des risques et documenter ses résultats	Manuel, désactivé	1.1.0
Établir une stratégie de gestion des risques	CMA_0258 - Établir une stratégie de gestion des risques	Manuel, désactivé	1.1.0
Implémenter la stratégie de gestion des risques	CMA_C1744 - Implémenter la stratégie de gestion des risques	Manuel, désactivé	1.1.0
Effectuer une évaluation des risques	CMA_0388 - Effectuer une évaluation des risques	Manuel, désactivé	1.1.0
Passer en revue et mettre à jour les stratégies et les procédures d’évaluation des risques	CMA_C1537 - Passer en revue et mettre à jour les stratégies et les procédures d’évaluation des risques	Manuel, désactivé	1.1.0

8. Définir et surveiller les performances

Garantir la disponibilité en définissant et en analysant formellement les objectifs à atteindre

ID : Propriété SWIFT CSCF v2022 8.1 : Partagé

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Coordonner les plans d’urgence avec les plans associés	CMA_0086 - Coordonner les plans d’urgence avec les plans associés	Manuel, désactivé	1.1.0
Développer un plan d’urgence	CMA_C1244 - Développer un plan d’urgence	Manuel, désactivé	1.1.0
Obtenir un avis juridique pour la supervision des activités du système	CMA_C1688 - Obtenir un avis juridique pour la supervision des activités du système	Manuel, désactivé	1.1.0
Effectuer une analyse des tendances sur les menaces	CMA_0389 – Effectuer une analyse des tendances sur les menaces	Manuel, désactivé	1.1.0
Planifier la continuité des fonctions métier essentielles	CMA_C1255 - Planifier la continuité des fonctions métier essentielles	Manuel, désactivé	1.1.0
Planifier la reprise des fonctions métier essentielles	CMA_C1253 - Planifier la reprise des fonctions métier essentielles	Manuel, désactivé	1.1.0
Fournir des informations de supervision selon les besoins	CMA_C1689 - Fournir des informations de supervision selon les besoins	Manuel, désactivé	1.1.0
Reprendre toutes les fonctions des missions et des métiers	CMA_C1254 - Reprendre toutes les fonctions des missions et des métiers	Manuel, désactivé	1.1.0

Garantir la disponibilité, la capacité et la qualité des services aux clients

ID : Propriété SWIFT CSCF v2022 8.4 : Partagé

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Effectuer la planification des capacités	CMA_C1252 - Effectuer la planification des capacités	Manuel, désactivé	1.1.0
Coordonner les plans d’urgence avec les plans associés	CMA_0086 - Coordonner les plans d’urgence avec les plans associés	Manuel, désactivé	1.1.0
Créer des actions alternatives pour les anomalies identifiées	CMA_C1711 - Créer des actions alternatives pour les anomalies identifiées	Manuel, désactivé	1.1.0
Développer un plan d’urgence	CMA_C1244 - Développer un plan d’urgence	Manuel, désactivé	1.1.0
Avertir le personnel de l’échec des tests de vérification de sécurité	CMA_C1710 – Avertir le personnel de l’échec des tests de vérification de sécurité	Manuel, désactivé	1.1.0
Effectuer la vérification de la fonction de sécurité à une fréquence définie	CMA_C1709 – Effectuer la vérification de la fonction de sécurité à une fréquence définie	Manuel, désactivé	1.1.0
Planifier la continuité des fonctions métier essentielles	CMA_C1255 - Planifier la continuité des fonctions métier essentielles	Manuel, désactivé	1.1.0

Garantissez la disponibilité en avant-première des versions SWIFTNet et des normes FIN pour des tests appropriés par le client avant de passer en direct.

ID : Propriété SWIFT CSCF v2022 8.5 : Partagé

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Résoudre les vulnérabilités de codage	CMA_0003 - Résoudre les vulnérabilités de codage	Manuel, désactivé	1.1.0
Développer et documenter les exigences de sécurité des applications	CMA_0148 - Développer et documenter les exigences de sécurité des applications	Manuel, désactivé	1.1.0
Documenter l’environnement du système d’information dans les contrats d’acquisition	CMA_0205 - Documenter l’environnement du système d’information dans les contrats d’acquisition	Manuel, désactivé	1.1.0
Établir un programme de développement de logiciels sécurisés	CMA_0259 - Établir un programme de développement de logiciels sécurisés	Manuel, désactivé	1.1.0
Effectuer des analyses de vulnérabilité	CMA_0393 – Effectuer des analyses de vulnérabilité	Manuel, désactivé	1.1.0
Corriger les défauts du système d’information	CMA_0427 – Corriger les défauts du système d’information	Manuel, désactivé	1.1.0
Exiger des développeurs qu’ils documentent les modifications approuvées et l’impact potentiel	CMA_C1597 - Exiger des développeurs qu’ils documentent les modifications approuvées et l’impact potentiel	Manuel, désactivé	1.1.0
Exiger des développeurs qu’ils implémentent seulement les modifications approuvées	CMA_C1596 - Exiger des développeurs qu’ils implémentent seulement les modifications approuvées	Manuel, désactivé	1.1.0
Exiger des développeurs qu’ils gèrent l’intégrité des modifications	CMA_C1595 - Exiger des développeurs qu’ils gèrent l’intégrité des modifications	Manuel, désactivé	1.1.0
Exiger des développeurs qu’ils produisent une preuve de l’exécution du plan d’évaluation de la sécurité	CMA_C1602 - Exiger des développeurs qu’ils produisent une preuve de l’exécution du plan d’évaluation de la sécurité	Manuel, désactivé	1.1.0
Vérifier l’intégrité des logiciels, des microprogrammes et des informations	CMA_0542 – Vérifier l’intégrité des logiciels, des microprogrammes et des informations	Manuel, désactivé	1.1.0

9. Garantir la disponibilité par le biais de la résilience

Les fournisseurs doivent veiller à ce que le service reste disponible pour les clients en cas de perturbation locale ou de dysfonctionnement.

ID : Propriété SWIFT CSCF v2022 9.1 : Partagé

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Effectuer des tests de réponse aux incidents	CMA_0060 – Mener des tests de réponse aux incidents	Manuel, désactivé	1.1.0
Coordonner les plans d’urgence avec les plans associés	CMA_0086 - Coordonner les plans d’urgence avec les plans associés	Manuel, désactivé	1.1.0
Développer un plan d’urgence	CMA_C1244 - Développer un plan d’urgence	Manuel, désactivé	1.1.0
Développer des stratégies et des procédures de planification d’urgence	CMA_0156 - Développer des stratégies et des procédures de planification d’urgence	Manuel, désactivé	1.1.0
Distribuer des stratégies et des procédures	CMA_0185 - Distribuer des stratégies et des procédures	Manuel, désactivé	1.1.0
Établir un programme de sécurité des informations	CMA_0263 - Établir un programme de sécurité des informations	Manuel, désactivé	1.1.0
Fournir une formation à l’urgence	CMA_0412 - Fournir une formation à l’urgence	Manuel, désactivé	1.1.0
Exécuter des attaques de simulation	CMA_0486 – Exécuter des attaques de simulation	Manuel, désactivé	1.1.0

Les fournisseurs doivent veiller à ce que le service reste disponible pour les clients en cas de sinistre sur le site.

ID : Propriété SWIFT CSCF v2022 9.2 : Partagé

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Effectuer une sauvegarde de la documentation du système d’information	CMA_C1289 - Effectuer une sauvegarde de la documentation du système d’information	Manuel, désactivé	1.1.0
Créer des sites de stockage alternatifs et principaux distincts	CMA_C1269 - Créer des sites de stockage alternatifs et principaux distincts	Manuel, désactivé	1.1.0
Vérifier que les protections du site de stockage alternatif sont équivalentes à celles du site principal	CMA_C1268 - Vérifier que les protections du site de stockage alternatif sont équivalentes à celles du site principal	Manuel, désactivé	1.1.0
Établir un autre site de stockage qui facilite les opérations de récupération	CMA_C1270 – Établir un autre site de stockage qui facilite les opérations de récupération	Manuel, désactivé	1.1.0
Établir un site de stockage alternatif pour stocker et récupérer les informations de sauvegarde	CMA_C1267 - Établir un site de stockage alternatif pour stocker et récupérer les informations de sauvegarde	Manuel, désactivé	1.1.0
Établir un site de traitement alternatif	CMA_0262 - Établir un site de traitement alternatif	Manuel, désactivé	1.1.0
Établir les exigences pour les fournisseurs de services Internet	CMA_0278 - Établir les exigences pour les fournisseurs de services Internet	Manuel, désactivé	1.1.0
Identifier et résoudre les problèmes potentiels sur le site de stockage alternatif	CMA_C1271 - Identifier et résoudre les problèmes potentiels sur le site de stockage alternatif	Manuel, désactivé	1.1.0
Préparer un autre site de traitement à utiliser comme site opérationnel	CMA_C1278 – Préparer un autre site de traitement à utiliser comme site opérationnel	Manuel, désactivé	1.1.0
Récupérer et reconstruire des ressources après toute interruption	CMA_C1295 - Récupérer et reconstruire des ressources après toute interruption	Manuel, désactivé	1.1.1
Restaurer les ressources à l’état opérationnel	CMA_C1297 - Restaurer les ressources à l’état opérationnel	Manuel, désactivé	1.1.1
Stocker séparément les informations de sauvegarde	CMA_C1293 - Stocker séparément les informations de sauvegarde	Manuel, désactivé	1.1.0
Transférer les informations de sauvegarde vers un autre site de stockage	CMA_C1294 - Transférer les informations de sauvegarde vers un autre site de stockage	Manuel, désactivé	1.1.0

Les bureaux de services doivent veiller que le service reste disponible pour leurs clients en cas de perturbation, de danger ou d’incident.

ID : Propriété SWIFT CSCF v2022 9.3 : Partagé

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Développer et documenter un plan de continuité d’activité et de reprise d’activité	CMA_0146 - Développer et documenter un plan de continuité d’activité et de reprise d’activité	Manuel, désactivé	1.1.0
Développer un plan d’urgence	CMA_C1244 - Développer un plan d’urgence	Manuel, désactivé	1.1.0
Utiliser un éclairage d’urgence automatique	CMA_0209 - Utiliser un éclairage d’urgence automatique	Manuel, désactivé	1.1.0
Implémenter une méthodologie de test de pénétration	CMA_0306 – Implémenter une méthodologie de test de pénétration	Manuel, désactivé	1.1.0
Implémenter la sécurité physique pour les bureaux, les zones de travail et les zones sécurisées	CMA_0323 - Implémenter la sécurité physique pour les bureaux, les zones de travail et les zones sécurisées	Manuel, désactivé	1.1.0
Examiner et mettre à jour les stratégies et procédures physiques et environnementales	CMA_C1446 - Examiner et mettre à jour les stratégies et procédures physiques et environnementales	Manuel, désactivé	1.1.0
Exécuter des attaques de simulation	CMA_0486 – Exécuter des attaques de simulation	Manuel, désactivé	1.1.0

La disponibilité et la qualité du service des fournisseurs sont garanties grâce à l’utilisation des packs de connectivité SWIFT recommandés et à la bande passante de ligne appropriée

ID : Propriété SWIFT CSCF v2022 9.4 : Partagé

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Autoriser, surveiller et contrôler la VoIP	CMA_0025 - Autoriser, surveiller et contrôler la VoIP	Manuel, désactivé	1.1.0
Effectuer la planification des capacités	CMA_C1252 - Effectuer la planification des capacités	Manuel, désactivé	1.1.0
Implémenter la protection des limites des systèmes	CMA_0328 - Implémenter la protection des limites des systèmes	Manuel, désactivé	1.1.0
Gérer les passerelles	CMA_0363 – Gérer les passerelles	Manuel, désactivé	1.1.0
Router le trafic via des points d’accès réseau gérés	CMA_0484 - Router le trafic via des points d’accès réseau gérés	Manuel, désactivé	1.1.0

10. Être prêt en cas de sinistre majeur

La continuité d’activité est garantie via un plan documenté communiqué aux partis potentiellement affectées (bureau de service et clients).

ID : Propriété SWIFT CSCF v2022 10.1 : Partagé

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Coordonner les plans d’urgence avec les plans associés	CMA_0086 - Coordonner les plans d’urgence avec les plans associés	Manuel, désactivé	1.1.0
Développer un plan d’urgence	CMA_C1244 - Développer un plan d’urgence	Manuel, désactivé	1.1.0
Planifier la continuité des fonctions métier essentielles	CMA_C1255 - Planifier la continuité des fonctions métier essentielles	Manuel, désactivé	1.1.0
Planifier la reprise des fonctions métier essentielles	CMA_C1253 - Planifier la reprise des fonctions métier essentielles	Manuel, désactivé	1.1.0
Reprendre toutes les fonctions des missions et des métiers	CMA_C1254 - Reprendre toutes les fonctions des missions et des métiers	Manuel, désactivé	1.1.0

11. Surveiller en cas de sinistre majeur

Garantissez une approche cohérente et efficace pour la surveillance et l’escalade d’événements.

ID : Propriété SWIFT CSCF v2022 11.1 : Partagé

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Documenter les opérations de sécurité	CMA_0202 – Documenter les opérations de sécurité	Manuel, désactivé	1.1.0
Obtenir un avis juridique pour la supervision des activités du système	CMA_C1688 - Obtenir un avis juridique pour la supervision des activités du système	Manuel, désactivé	1.1.0
Effectuer une analyse des tendances sur les menaces	CMA_0389 – Effectuer une analyse des tendances sur les menaces	Manuel, désactivé	1.1.0
Fournir des informations de supervision selon les besoins	CMA_C1689 - Fournir des informations de supervision selon les besoins	Manuel, désactivé	1.1.0
Activer les capteurs pour la solution de sécurité de point de terminaison	CMA_0514 – Activer les capteurs pour la solution de sécurité de point de terminaison	Manuel, désactivé	1.1.0

Garantissez une approche cohérente et efficace de la gestion des incidents (gestion des problèmes).

ID : Propriété SWIFT CSCF v2022 11.2 : Partagé

Garantissez une escalade appropriée des dysfonctionnements opérationnels en cas d’impact sur le client.

ID : Propriété SWIFT CSCF v2022 11.4 : Partagé

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Automatiser le processus de documentation des modifications implémentées	CMA_C1195 - Automatiser le processus de documentation des modifications implémentées	Manuel, désactivé	1.1.0
Automatiser le processus de mise en évidence des propositions de modification non révisées	CMA_C1193 - Automatiser le processus de mise en évidence des propositions de modification non révisées	Manuel, désactivé	1.1.0
Mettez sur pied un plan de réponse en cas d'incident	CMA_0145 – Développer un plan de réponse aux incidents	Manuel, désactivé	1.1.0
Documenter les opérations de sécurité	CMA_0202 – Documenter les opérations de sécurité	Manuel, désactivé	1.1.0
Activer la protection du réseau	CMA_0238 - Activer la protection réseau	Manuel, désactivé	1.1.0
Éradiquer les informations contaminées	CMA_0253 - Éradiquer les informations contaminées	Manuel, désactivé	1.1.0
Établir et documenter les processus de contrôle des modifications	CMA_0265 – Établir et documenter les processus de contrôle des modifications	Manuel, désactivé	1.1.0
Établir des exigences de gestion de configuration pour les développeurs	CMA_0270 - Établir des exigences de gestion de configuration pour les développeurs	Manuel, désactivé	1.1.0
Établir une relation entre la fonctionnalité de réponse aux incidents et les fournisseurs externes	CMA_C1376 – Établir une relation entre la fonctionnalité de réponse aux incidents et les fournisseurs externes	Manuel, désactivé	1.1.0
Exécuter des actions en réponse à des fuites d’informations	CMA_0281 - Exécuter des actions en réponse à des fuites d’informations	Manuel, désactivé	1.1.0
Implémenter une gestion des incidents	CMA_0318 - Implémenter une gestion des incidents	Manuel, désactivé	1.1.0
Effectuer une analyse des tendances sur les menaces	CMA_0389 – Effectuer une analyse des tendances sur les menaces	Manuel, désactivé	1.1.0
Effectuer un audit pour le contrôle des modifications de configuration	CMA_0390 - Effectuer un audit pour le contrôle des modifications de configuration	Manuel, désactivé	1.1.0
Visualiser et examiner les utilisateurs restreints	CMA_0545 - Visualiser et examiner les utilisateurs restreints	Manuel, désactivé	1.1.0

Un support efficace est offert aux clients en cas de problèmes pendant leurs heures de travail.

ID : Propriété SWIFT CSCF v2022 11.5 : Partagé

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Mettez sur pied un plan de réponse en cas d'incident	CMA_0145 – Développer un plan de réponse aux incidents	Manuel, désactivé	1.1.0
Documenter les opérations de sécurité	CMA_0202 – Documenter les opérations de sécurité	Manuel, désactivé	1.1.0
Activer la protection du réseau	CMA_0238 - Activer la protection réseau	Manuel, désactivé	1.1.0
Éradiquer les informations contaminées	CMA_0253 - Éradiquer les informations contaminées	Manuel, désactivé	1.1.0
Établir une relation entre la fonctionnalité de réponse aux incidents et les fournisseurs externes	CMA_C1376 – Établir une relation entre la fonctionnalité de réponse aux incidents et les fournisseurs externes	Manuel, désactivé	1.1.0
Exécuter des actions en réponse à des fuites d’informations	CMA_0281 - Exécuter des actions en réponse à des fuites d’informations	Manuel, désactivé	1.1.0
Identifier le personnel de réponse aux incidents	CMA_0301 – Identifier le personnel de réponse aux incidents	Manuel, désactivé	1.1.0
Implémenter une gestion des incidents	CMA_0318 - Implémenter une gestion des incidents	Manuel, désactivé	1.1.0
Effectuer une analyse des tendances sur les menaces	CMA_0389 – Effectuer une analyse des tendances sur les menaces	Manuel, désactivé	1.1.0
Visualiser et examiner les utilisateurs restreints	CMA_0545 - Visualiser et examiner les utilisateurs restreints	Manuel, désactivé	1.1.0

12. Vérifier que les connaissances sont disponibles

Garantissez la qualité de service aux clients par le biais d’employés certifiés SWIFT.

ID : Propriété SWIFT CSCF v2022 12.1 : Partagé

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Fournir une formation périodique sur la sécurité basée sur les rôles	CMA_C1095 - Fournir une formation périodique sur la sécurité basée sur les rôles	Manuel, désactivé	1.1.0
Fournir une formation sur la sécurité basée sur les rôles	CMA_C1094 - Fournir une formation sur la sécurité basée sur les rôles	Manuel, désactivé	1.1.0
Fournir une formation sur la sécurité avant de fournir l’accès	CMA_0418 - Fournir une formation sur la sécurité avant de fournir l’accès	Manuel, désactivé	1.1.0

Étapes suivantes

Autres articles sur Azure Policy :

Présentation de la Conformité réglementaire.
Voir la structure de la définition d’initiative.
Passez en revue d’autres exemples de la page Exemples Azure Policy.
Consultez la page Compréhension des effets de Policy.
Découvrez comment corriger des ressources non conformes.

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Évaluer les événements de sécurité des informations	CMA_0013 - Évaluer les événements de sécurité des informations	Manuel, désactivé	1.1.0
Effectuer des tests de réponse aux incidents	CMA_0060 – Mener des tests de réponse aux incidents	Manuel, désactivé	1.1.0
Mettez sur pied un plan de réponse en cas d'incident	CMA_0145 – Développer un plan de réponse aux incidents	Manuel, désactivé	1.1.0
Développer des protections de sécurité	CMA_0161 - Développer des protections de sécurité	Manuel, désactivé	1.1.0
Documenter les opérations de sécurité	CMA_0202 – Documenter les opérations de sécurité	Manuel, désactivé	1.1.0
Activer la protection du réseau	CMA_0238 - Activer la protection réseau	Manuel, désactivé	1.1.0
Éradiquer les informations contaminées	CMA_0253 - Éradiquer les informations contaminées	Manuel, désactivé	1.1.0
Établir un programme de sécurité des informations	CMA_0263 - Établir un programme de sécurité des informations	Manuel, désactivé	1.1.0
Exécuter des actions en réponse à des fuites d’informations	CMA_0281 - Exécuter des actions en réponse à des fuites d’informations	Manuel, désactivé	1.1.0
Identifier les classes d’incidents et d’actions prises	CMA_C1365 - Identifier les classes d’incidents et d’actions effectuées	Manuel, désactivé	1.1.0
Implémenter une gestion des incidents	CMA_0318 - Implémenter une gestion des incidents	Manuel, désactivé	1.1.0
Incorporer les événements simulés dans la formation sur la réponse aux incidents	CMA_C1356 – Incorporer les événements simulés dans la formation sur la réponse aux incidents	Manuel, désactivé	1.1.0
Conserver les enregistrements de divulgation de données	CMA_0351 - Conserver les enregistrements de divulgation de données	Manuel, désactivé	1.1.0
Gérer le plan de réponse aux incidents	CMA_0352 - Gérer le plan de réponse aux incidents	Manuel, désactivé	1.1.0
Effectuer une analyse des tendances sur les menaces	CMA_0389 – Effectuer une analyse des tendances sur les menaces	Manuel, désactivé	1.1.0
Protéger le plan de réponse aux incidents	CMA_0405 - Protéger le plan de réponse aux incidents	Manuel, désactivé	1.1.0
Fournir une formation sur les fuites d’informations	CMA_0413 - Fournir une formation sur les fuites d’informations	Manuel, désactivé	1.1.0
Passer en revue et mettre à jour les stratégies et les procédures de réponse aux incidents	CMA_C1352 - Passer en revue et mettre à jour les stratégies et les procédures de réponse aux incidents	Manuel, désactivé	1.1.0
Exécuter des attaques de simulation	CMA_0486 – Exécuter des attaques de simulation	Manuel, désactivé	1.1.0
Visualiser et examiner les utilisateurs restreints	CMA_0545 - Visualiser et examiner les utilisateurs restreints	Manuel, désactivé	1.1.0