Partager via

Configurer les contrôles d’identification et d’authentification (IA) CMMC de niveau 2

  • Article

Microsoft Entra ID vous permet de répondre aux pratiques d’identité requises dans chaque niveau de CMMC (Cybersecurity Maturity Model Certification). La réalisation d'autres configurations ou processus pour être conforme aux exigences CMMC V2.0 niveau 2 relève de la responsabilité des entreprises effectuant des travaux avec et au nom du Département américain de la Défense (DoD).

La certification CMMC niveau 2 dispose de 13 domaines qui ont une ou plusieurs pratiques liées à l’identité. Les domaines sont les suivants :

  • Contrôle d’accès (autorité de certification)
  • Audit et responsabilité (AU)
  • Gestion de la configuration (CM)
  • Identification et authentification (IA)
  • Réponse aux incidents
  • Maintenance (MA)
  • Protection média (MP)
  • Sécurité du personnel
  • Protection physique (PE)
  • Évaluation des risques (RA)
  • Évaluation de la sécurité (CA)
  • Protection du système et des communications (SC)
  • Intégrité du système et des informations (SI)

Le reste de cet article fournit des conseils pour le domaine Identification et autorisation (IA). Vous trouverez un tableau contenant des liens vers du contenu qui fournit des instructions pas à pas pour accomplir la pratique.

Identification et authentification

Le tableau suivant fournit une liste de pratiques et d’objectifs, ainsi que des conseils et recommandations Microsoft Entra pour vous permettre de répondre à ces exigences avec Microsoft Entra ID.

Énoncé de pratique et objectifs de la certification CMMC Aide et recommandations relatives à Microsoft Entra
IA.L2-3.5.3

Énoncé de pratique : Utiliser l’authentification multifacteur pour l’accès local et réseau aux comptes privilégiés et pour l’accès réseau aux comptes non privilégiés.

Objectifs :
Déterminez si :
[a.] Des comptes privilégiés ont été identifiés.
[b.] L’authentification multifacteur est implémentée pour l’accès local aux comptes privilégiés.
[c.] L’authentification multifacteur est implémentée pour l’accès réseau aux comptes privilégiés.
[d.] L’authentification multifacteur est implémentée pour l’accès réseau aux comptes non privilégiés.		 Voici les définitions des termes utilisés pour cette zone de contrôle :
  • Accès local : accès à un système d’information de l’organisation par un utilisateur (ou un processus agissant pour le compte d’un utilisateur) qui communique via une connexion directe sans utiliser de réseau.
  • Accès réseau : accès à un système d’information par un utilisateur (ou un processus agissant pour le compte d’un utilisateur) qui communique par le biais d’un réseau (par exemple, réseau local, réseau étendu, Internet).
  • Utilisateur privilégié : utilisateur autorisé (et donc approuvé) à exécuter des fonctions de sécurité que les utilisateurs ordinaires ne sont pas autorisés à effectuer.

    Le démantèlement de l’exigence précédente signifie :
  • Tous les utilisateurs ont besoin de l’authentification multifacteur pour l’accès réseau/à distance.
  • Seuls les utilisateurs privilégiés ont besoin de l’authentification multifacteur pour l’accès local. Si les comptes d’utilisateurs ordinaires disposent de droits d’administration uniquement sur leurs ordinateurs, ils ne sont pas un « compte privilégié » et ne nécessitent pas d’authentification multifacteur pour l’accès local.

    Vous êtes responsable de la configuration de l’accès conditionnel pour exiger l’authentification multifacteur. Activez les méthodes d’authentification Microsoft Entra qui répondent à AAL2 ou supérieur.
    Accorder des contrôles dans la stratégie d’accès conditionnel
    Atteindre les niveaux d’assurance de l’authentificateur NIST avec Microsoft Entra ID
    Fonctionnalités et méthodes d’authentification
    		•
    IA.L2-3.5.4

    Énoncé de pratique : Utiliser des mécanismes d’authentification capables d’offrir une protection contre les attaques par rejeu pour l’accès réseau aux comptes privilégiés et non privilégiés.

    Objectifs :
    Déterminez si :
    [a.] Les mécanismes d’authentification capables d’offrir une protection contre les attaques par rejeu sont implémentés pour l’accès réseau aux comptes privilégiés et non privilégiés.    		 Toutes les méthodes d’authentification Microsoft Entra pour AAL2 et supérieur sont résistantes à la relecture.
    Atteindre les niveaux d’assurance de l’authentificateur NIST avec Microsoft Entra ID
    IA.L2-3.5.5

    Énoncé de pratique : Empêcher la réutilisation des identificateurs pour une période définie.

    Objectifs :
    Déterminez si :
    [a.] Une période au cours de laquelle les identificateurs ne peuvent pas être réutilisés a été définie.
    [b.] La réutilisation des identificateurs est empêchée pendant la période définie.    		 Tous les identificateurs globaux uniques (GUID) d’utilisateur, de groupe et d’objet d’appareil sont garantis uniques et non réutilisables pendant la durée de vie du locataire Microsoft Entra.
    type de ressource utilisateur - Microsoft Graph v1.0
    type de ressource groupe - Microsoft Graph v1.0
    type de ressource appareil - Microsoft Graph v1.0
    IA.L2-3.5.6

    Énoncé de pratique : Désactiver les identificateurs après une période d’inactivité définie.

    Objectifs :
    Déterminez si :
    [a.] La période d’inactivité après laquelle un identificateur doit être désactivé a été définie.
    [b.] Les identificateurs sont désactivés après la période d’inactivité définie.    		 Implémentez l’automatisation de la gestion des comptes avec Microsoft Graph et le kit de développement logiciel Microsoft Graph PowerShell. Utilisez Microsoft Graph pour superviser l’activité de connexion et le kit de développement logiciel (SDK) Microsoft Graph PowerShell pour prendre des mesures sur les comptes dans le délai imparti.

    Déterminer l’inactivité
    Gérer les comptes d’utilisateur inactifs dans Microsoft Entra ID
    Gérer les appareils obsolètes dans Microsoft Entra ID

    Supprimer ou désactiver des comptes
    Utilisation des utilisateurs dans Microsoft Graph
    Obtenir un utilisateur
    Mettre à jour un utilisateur
    Suppression d’un utilisateur

    Utiliser des appareils dans Microsoft Graph
    Obtenir un appareil
    Mettre à jour un appareil
    Supprimer un appareil

    Utiliser Microsoft Graph PowerShell
    Get-MgUser
    Update-MgUser
    Get-MgDevice
    Update-MgDevice
    IA.L2-3.5.7

    Énoncé de pratique :

    Objectifs : Imposer une complexité minimale du mot de passe et un changement de caractères lors de la création de nouveaux mots de passe.
    Déterminez si :
    [a.] Des exigences en termes de complexité du mot de passe sont définies.
    [b.] Des exigences relatives au changement des caractères du mot de passe sont définies.
    [c.] Les exigences minimales de complexité des mots de passe telles que définies sont appliquées lors de la création de nouveaux mots de passe.
    [d.] Les exigences minimales relatives au changement des caractères du mot de passe telles que définies sont appliquées lors de la création de nouveaux mots de passe.

    IA.L2-3.5.8

    Énoncé de pratique : Interdire la réutilisation du mot de passe pour un nombre spécifié de générations.

    Objectifs :
    Déterminez si :
    [a.] Le nombre de générations pendant lesquelles un mot de passe ne peut pas être réutilisé est spécifié.
    [b.] La réutilisation des mots de passe est interdite pendant le nombre de générations spécifié.    		 Nous encourageons vivement l’utilisation des stratégies sans mot de passe. Ce contrôle s’applique uniquement aux authentificateurs de mot de passe. Par conséquent, la suppression de mots de passe en tant qu’authentificateur disponible rend ce contrôle non applicable.

    Conformément à SP 800-63 B Section 5.1.1 : tenir à jour la liste des mots de passe couramment utilisés, attendus ou compromis.

    Avec la protection par mot de passe de Microsoft Entra, des listes globales de mots de passe interdits par défaut sont appliquées automatiquement à tous les utilisateurs dans un locataire Microsoft Entra. Pour répondre aux besoins de votre entreprise et de votre sécurité, vous pouvez définir des entrées dans une liste personnalisée de mots de passe interdits. Lorsque les utilisateurs modifient ou réinitialisent leurs mots de passe, ces listes de mots de passe interdits sont vérifiées pour imposer l’utilisation de mots de passe forts.
    Pour les clients qui demandent un changement strict des caractères du mot de passe, les exigences de réutilisation et de complexité des mots de passe utilisent des comptes hybrides configurés avec Password-Hash-Sync. Cette action garantit que les mots de passe synchronisés avec Microsoft Entra ID héritent des restrictions configurées dans les stratégies de mot de passe Active Directory. Protégez davantage les mots de passe locaux en configurant la protection par mot de passe Microsoft Entra locale pour Active Directory Domain Services.
    Publication spéciale NIST 800-63 B
    Publication spéciale NIST 800-53 Révision 5 (IA-5 - Renforcement du contrôle (1)
    Éliminer les mots de passe incorrects à l’aide de la protection par mot de passe Microsoft Entra
    Qu’est-ce que la synchronisation de hachage du mot de passe avec Microsoft Entra ID ?
    IA.L2-3.5.9

    Énoncé de pratique : Autoriser l’utilisation de mots de passe temporaires pour les connexions système avec un changement immédiat en mots de passe permanents.

    Objectifs :
    Déterminez si :
    [a.] La modification immédiate d’un mot de passe permanent est exigée lorsqu’un mot de passe temporaire est utilisé pour l’authentification système.    		 Un mot de passe initial d’utilisateur Microsoft Entra est un mot de passe temporaire à usage unique qui, une fois utilisé avec succès, doit immédiatement être remplacé par un mot de passe permanent. Microsoft encourage vivement l’adoption de méthodes d’authentification sans mot de passe. Les utilisateurs peuvent démarrer des méthodes d’authentification sans mot de passe avec Passe d'accès temporaire (TAP). Un Passe d’accès temporaire est un code secret à durée limitée délivré par un administrateur qui répond aux impératifs de l’authentification forte. L’utilisation de l’authentification sans mot de passe, ainsi que le temps et l’utilisation d’un TAP limité, éliminent complètement l’utilisation des mots de passe (et leur réutilisation).
    Ajouter ou supprimer des utilisateurs
    Configurer un Passe d’accès temporaire dans Microsoft Entra ID pour inscrire des méthodes d’authentification sans mot de passe
    Authentification sans mot de passe
    IA.L2-3.5.10

    Énoncé de pratique : Stocker et transmettre uniquement les mots de passe protégés par chiffrement.

    Objectifs :
    Déterminez si :
    [a.] Les mots de passe sont protégés par chiffrement dans le stockage.
    [b.] Les mots de passe sont protégés par chiffrement lorsqu’ils sont en transit.    		 Chiffrement secret au repos :
    En plus du chiffrement au niveau du disque, lorsqu’ils sont au repos, les secrets stockés dans le répertoire sont chiffrés à l’aide du Gestionnaire de clés distribuées (DKM). Les clés de chiffrement sont stockées dans le magasin principal de Microsoft Entra et sont à leur tour chiffrées avec une clé d’unité d’échelle. La clé est stockée dans un conteneur protégé par des listes de contrôle d’accès de répertoire, pour les utilisateurs les plus privilégiés et des services spécifiques. La clé symétrique est généralement pivotée tous les six mois. L’accès à l’environnement est davantage protégé par des contrôles opérationnels et une sécurité physique.

    Chiffrement en transit :
    Pour garantir la sécurité des données, les données d’annuaire dans Microsoft Entra ID sont signées et chiffrées pendant leur transit entre les centres de données au sein d’une unité d’échelle. Les données sont chiffrées et déchiffrées par le niveau Magasin principal de Microsoft Entra, qui réside dans les zones d’hébergement de serveur sécurisées des centres de données Microsoft associés.

    Les services web destinés aux clients sont sécurisés avec le protocole TLS (Transport Layer Security).
    Pour plus d’informations, téléchargez Considérations relatives à la protection des données - Sécurité des données. Vous trouverez plus de détails à la page 15.
    Démystification de la synchronisation de hachage de mot de passe (microsoft.com)
    Considérations sur la sécurité des données Microsoft Entra
    IA.L2-3.5.11

    Énoncé de pratique : Masquer les commentaires sur les informations d’authentification.

    Objectifs :
    Déterminez si :
    [a.] Les informations d’authentification sont masquées lors du processus d’authentification.    		 Par défaut, Microsoft Entra ID masque tous les commentaires de l’authentificateur.

    Étapes suivantes