Améliorer la conformité réglementaire

  • Article

Microsoft Defender pour le Cloud vous aide à répondre aux exigences de conformité réglementaire en évaluant en permanence les ressources par rapport aux contrôles de conformité et en identifiant les problèmes qui vous empêchent d’obtenir une certification de conformité particulière.

Dans le tableau de bord conformité réglementaire, vous gérez et interagissez avec les normes de conformité. Vous pouvez voir quelles normes de conformité sont attribuées, activer et désactiver les normes pour Azure, AWS et GCP, passer en revue l’état des évaluations par rapport aux normes, et bien plus encore.

Intégration à Purview

Les données de conformité de Defender pour le cloud s’intègrent désormais en toute transparence au Gestionnaire de conformité Microsoft Purview, vous permettant d’évaluer et de gérer de manière centralisée la conformité dans l’ensemble du patrimoine numérique de votre organisation.

Lorsque vous ajoutez une quelconque norme à votre tableau de bord de conformité (y compris les normes de conformité qui surveillent d’autres clouds comme AWS et GCP), les données de conformité au niveau des ressources sont automatiquement mises en surface dans le Gestionnaire de conformité pour la même norme.

Le Gestionnaire de conformité fournit donc des actions d’amélioration et des statuts dans votre infrastructure cloud et dans toutes les autres ressources numériques de cet outil central. Pour plus d’informations, consultez Prise en charge multicloud dans le Gestionnaire de conformité Microsoft Purview.

Avant de commencer

  • Par défaut, quand vous activez Defender pour le cloud sur un abonnement Azure, un compte AWS ou un plan GCP, le plan MCSB est activé.
  • Vous pouvez ajouter d’autres normes de conformité qui ne sont pas par défaut lorsqu'au moins un plan payant est activé dans Defender pour le cloud.
  • Vous devez être connecté avec un compte qui dispose d’un accès de lecteur aux données de conformité de stratégie. Le rôle Lecteur de l’abonnement a accès aux données de conformité à la stratégie, mais pas le rôle Lecteur de sécurité. Au minimum, les rôles Contributeur de la stratégie de ressource et Administration de la sécurité doivent vous être attribués.

Évaluer la conformité réglementaire

Le tableau de bord conformité réglementaire indique les normes de conformité activées. Il affiche les contrôles au sein de chaque norme et les évaluations de sécurité pour ces contrôles. L’état de ces évaluations reflète votre conformité à la norme.

Le tableau de bord vous aide à vous concentrer sur les lacunes dans les normes et à surveiller la conformité au fil du temps.

  1. Dans le portail Defender pour le cloud, ouvrez la page Conformité réglementaire.

    Screenshot that shows the exploration of the details of compliance with a specific standard.

  2. Utilisez le tableau de bord conformément aux éléments numérotés dans l’image.

    • (1). Sélectionnez une norme de conformité pour afficher la liste des contrôles de cette norme.
    • (2). Affichez les abonnements sur lesquels la norme de conformité est appliquée.
    • (3). Sélectionnez et développez un contrôle pour afficher les évaluations associées. Sélectionnez une évaluation pour afficher les ressources associées et les actions de correction possibles.
    • (4). Sélectionnez Détails du contrôle pour afficher les onglets Vue d’ensemble, Vos actions et Actions Microsoft.
    • (5). Dans Vos actions, vous pouvez voir les évaluations automatisées et manuelles associées au contrôle.
    • (6). Les évaluations automatisées indiquent le nombre de ressources et de types de ressources ayant échoué, et vous lient directement aux informations de correction.
    • (7). Les évaluations manuelles peuvent être attestées manuellement et des preuves peuvent être fournies pour démontrer la conformité.

Examiner les problèmes

Vous pouvez utiliser des informations dans le tableau de bord pour examiner les problèmes susceptibles d’affecter la conformité à la norme.

  1. Dans le portail Defender pour le Cloud, ouvrez conformité réglementaire.

  2. Sélectionnez une norme de conformité réglementaire, puis sélectionnez un contrôle de conformité pour le développer.

  3. Sélectionnez Détails du contrôle.

    Screenshot that shows you where to navigate to select control details on the screen.

    • Sélectionnez Vue d’ensemble pour afficher les informations spécifiques sur le contrôle que vous avez sélectionné.
    • Sélectionnez Vos actions pour afficher une vue détaillée des actions automatisées et manuelles que vous devez effectuer pour améliorer votre posture de conformité.
    • Sélectionnez Actions Microsoft pour afficher toutes les actions prises par Microsoft pour garantir la conformité avec la norme sélectionnée.

  4. Sous Vos actions, vous pouvez sélectionner une flèche vers le bas pour afficher plus de détails et suivre la recommandation associée à cette ressource.

    Screenshot that shows you where the down arrow is on the screen.

    Pour plus d’informations sur la manière d’appliquer des recommandations, consultez Implémentation des recommandations de sécurité dans Microsoft Defender pour le cloud.

    Notes

    Les évaluations s’exécutent toutes les 12 heures environ. L’impact sur vos données de conformité n’est donc visible qu’après l’exécution suivante de l’évaluation correspondante.

Corriger une évaluation automatisée

La conformité réglementaire comporte à la fois des évaluations automatisées et manuelles qui peuvent nécessiter une correction. À l’aide des informations figurant dans le tableau de bord de conformité réglementaire, améliorez votre niveau de conformité en résolvant les recommandations directement dans le tableau de bord.

  1. Dans le portail Defender pour le Cloud, ouvrez conformité réglementaire.

  2. Sélectionnez une norme de conformité réglementaire, puis sélectionnez un contrôle de conformité pour le développer.

  3. Sélectionnez l’une des évaluations ayant échoué dans le tableau de bord pour voir les détails de cette recommandation. Chaque recommandation comprend un ensemble d’étapes de correction pour résoudre le problème.

  4. Sélectionnez une ressource particulière pour voir plus de détails et résoudre la recommandation associée à cette ressource.
    Par exemple, dans la norme Azure CIS 1.1.0, sélectionnez la recommandation Le chiffrement de disque doit être appliqué sur les machines virtuelles.

    Screenshot that shows that selecting a recommendation from a standard leads directly to the recommendation details page.

  5. Dans cet exemple, quand vous sélectionnez Entreprendre une action dans la page des détails de la recommandation, vous arrivez dans les pages relatives aux machines virtuelles Azure du portail Azure, où vous pouvez activer le chiffrement sous l’onglet Sécurité :

    Screenshot that shows the take action button on the recommendation details page leads to the remediation options.

    Pour plus d’informations sur la manière d’appliquer des recommandations, consultez Implémentation des recommandations de sécurité dans Microsoft Defender pour le cloud.

  6. Quand vous aurez pris des mesures pour appliquer les recommandations, vous constaterez une amélioration de votre score de conformité dans le rapport du tableau de bord de conformité.

Les évaluations s’exécutent toutes les 12 heures environ. L’impact sur vos données de conformité n’est donc visible qu’après l’exécution suivante de l’évaluation pertinente.

Corriger une évaluation manuelle

La conformité réglementaire comporte des évaluations automatisées et manuelles qui peuvent nécessiter une correction. Les évaluations manuelles sont des évaluations qui nécessitent une entrée du client pour les corriger.

  1. Dans le portail Defender pour le Cloud, ouvrez conformité réglementaire.

  2. Sélectionnez une norme de conformité réglementaire, puis sélectionnez un contrôle de conformité pour le développer.

  3. Dans la section Attestation et preuve manuelles, sélectionnez une évaluation.

  4. Sélectionnez l’abonnement approprié.

  5. Sélectionnez Évaluer.

  6. Entrez les informations pertinentes et joignez des preuves de conformité.

  7. Sélectionnez Enregistrer.

Générer des rapports d’état de conformité et des certificats

  1. Pour générer un rapport PDF comportant un résumé de votre état de compatibilité actuel pour une norme particulière, sélectionnez Télécharger un rapport.

    Le rapport fournit un résumé général de votre état de conformité pour la norme sélectionnée en fonction des données d’évaluation Defender pour le cloud. Le rapport est organisé en fonction des contrôles de cette norme particulière. Le rapport peut être partagé avec les parties prenantes concernées et servir de preuve aux auditeurs internes et externes.

    Screenshot that shows using the toolbar in Defender for Cloud's regulatory compliance dashboard to download compliance reports.

  2. Pour télécharger des rapports de certification Azure et Dynamics pour les normes appliquées à vos abonnements, utilisez l’option Rapports d’audit.

    Screenshot that shows using the toolbar in Defender for Cloud's regulatory compliance dashboard to download Azure and Dynamics certification reports.

  3. Sélectionnez l’onglet pour les types de rapports appropriés (PCI, SOC, ISO et autres) et utiliser des filtres pour rechercher les rapports spécifiques dont vous avez besoin :

    Screenshot that shows filtering the list of available Azure Audit reports using tabs and filters.

    Par exemple, à partir de l’onglet PCI, vous pouvez télécharger un fichier ZIP contenant un certificat signé numériquement, qui démontre la conformité de Microsoft Azure, Dynamics 365 et d’autres services en ligne au framework ISO22301, ainsi que la documentation nécessaire pour interpréter et présenter le certificat.

Quand vous téléchargez un de ces rapports de certification, vous voyez l’avis de confidentialité suivant :

En téléchargeant ce fichier, vous autorisez Microsoft à stocker l’utilisateur actuel et les abonnements sélectionnés au moment du téléchargement. Ces données sont utilisées pour vous avertir en cas de modifications ou de mises à jour du rapport d’audit téléchargé. Ces données sont utilisées par Microsoft et les entreprises d’audit qui produisent la certification/les rapports uniquement lorsque la notification est requise.

Exporter en continu l’état de conformité

Si vous souhaitez suivre votre état de conformité avec d’autres outils de monitoring dans votre environnement, Defender pour le cloud comprend un mécanisme d’exportation pour faciliter cette tâche. Configurez l’exportation continue pour envoyer des données spécifiques à des hubs d’événements Azure ou à un espace de travail Log Analytics. Apprenez-en davantage dans Exportation continue des données Defender pour le cloud.

Utilisez les données d’exportation continue envoyées à des hubs d’événements Azure ou un espace de travail Log Analytics :

  1. Exportez toutes les données de conformité réglementaire dans un flux continu :

    Screenshot that shows how to continuously export a stream of regulatory compliance data.

  2. Exportez des instantanés hebdomadaires de vos données de conformité réglementaire :

    Screenshot that shows how to continuously export a weekly snapshot of regulatory compliance data.

Conseil

Vous pouvez également exporter manuellement des rapports à partir d’un point unique dans le temps directement à partir du tableau de bord de conformité réglementaire. Générez ces rapports PDF / CSV ou rapports de certification Azure et Dynamics avec les options de barre d’outils Télécharger le rapport ou Rapports d’audit Options de la barre d’outils.

Déclencher un workflow lorsque les évaluations changent

La fonctionnalité d’automatisation de workflow de Defender pour le cloud peut déclencher des applications logiques chaque fois que l’une de vos évaluations de conformité réglementaire change d’état.

Par exemple, vous pouvez faire en sorte que Defender pour le cloud envoie un e-mail à un utilisateur donné en cas d’échec d’une évaluation de conformité. Vous devez d’abord créer l’application logique (avec Azure Logic Apps), puis configurer le déclencheur dans une nouvelle automatisation de workflow, comme expliqué dans Automatiser les réponses aux déclencheurs Defender pour le cloud.

Screenshot that shows how to use changes to regulatory compliance assessments to trigger a workflow automation.

Étapes suivantes

Pour en savoir plus, consultez les pages connexes suivantes :