Partager via


Microsoft Entra ID et l’exigence 10 de la norme PCI-DSS

Exigence 10 : enregistrer et surveiller tous les accès aux composants système et aux données de titulaires de carte
Exigences d’approche définie

10.1 Des processus et mécanismes destinés à journaliser et surveiller l’ensemble des accès aux composants système et aux données de titulaires de carte sont définis et documentés.

Exigences d’approche définie par PCI-DSS Aide et recommandations relatives à Microsoft Entra
10.1.1 L’ensemble des stratégies de sécurité et procédures opérationnelles identifiées dans l’Exigence 10 sont :
Documentées
Tenues à jour
En place
Connues de toutes les parties concernées
Utilisez l’aide et les liens ci-dessous pour produire la documentation et répondre aux exigences en fonction de la configuration de votre environnement.
10.1.2 Des rôles et responsabilités liés à l’exécution des activités mentionnées dans l’Exigence 10 sont documentés, attribués et compris. Utilisez l’aide et les liens ci-dessous pour produire la documentation et répondre aux exigences en fonction de la configuration de votre environnement.

10.2 Des journaux d’audit sont implémentés pour faciliter la détection des anomalies et des activités suspectes, ainsi que l’analyse d’investigation des événements.

Exigences d’approche définie par PCI-DSS Aide et recommandations relatives à Microsoft Entra
10.2.1 Des journaux d’audit sont activés et actifs pour l’ensemble des composants système et des données des titulaires de carte. Archivez les journaux d’audit Microsoft Entra pour obtenir les changements des stratégies de sécurité et de la configuration de locataires Microsoft Entra.
Pour en connaître l’usage, archivez les journaux d’activité Microsoft Entra dans un système de Gestion des informations et des événements de sécurité (SIEM). Journaux d’activité Microsoft Entra dans Azure Monitor
10.2.1.1 Des journaux d’audit capturent tous les accès des utilisateurs individuels aux données des titulaires de carte. Non applicable à Microsoft Entra ID.
10.2.1.2 Des journaux d’audit capturent l’ensemble des mesures prises par des personnes disposant d’un accès administratif, notamment toute utilisation interactive des comptes système ou d’application. Non applicable à Microsoft Entra ID.
10.2.1.3 Des journaux d’audit capturent tous les accès aux journaux d’audit. Dans Microsoft Entra ID, vous ne pouvez pas effacer ou modifier les journaux. Les utilisateurs privilégiés peuvent interroger les journaux de Microsoft Entra ID. Rôles les moins privilégiés par tâche dans Microsoft Entra ID
Lorsque des journaux d’audit sont exportés vers des systèmes tels qu’un espace de travail Azure Log Analytics, des comptes de stockage ou des systèmes SIEM tiers, surveillez leur accès.
10.2.1.4 Des journaux d’audit capturent toutes les tentatives d’accès logique non valides. Microsoft Entra ID génère des journaux d’activité lorsqu’un utilisateur tente de se connecter avec des informations d’identification non valides. Le service génère des journaux d’activité lorsqu’un accès est refusé en raison de stratégies d’accès conditionnel.
10.2.1.5 Des journaux d'audit capturent l’ensemble des modifications apportées aux informations d’identification et d’authentification, notamment (sans s’y limiter) :
Création de comptes
Élévation de privilèges
L’ensemble des modifications, ajouts ou suppressions de comptes avec un accès administratif
Microsoft Entra ID génère des journaux d’audit pour les événements dans cette exigence.
10.2.1.6 Des journaux d’audit capturent les éléments suivants :
Toutes les initialisations de nouveaux journaux d’audit et
Tous les démarrages, arrêts et suspensions de journaux d’audit existants.
Non applicable à Microsoft Entra ID.
10.2.1.7 Des journaux d’audit capturent l’ensemble des créations et suppressions d’objets au niveau du système. Microsoft Entra ID génère des journaux d’audit pour les événements dans cette exigence.
10.2.2 Des journaux d’audit enregistrent les informations suivantes pour chaque événement vérifiable :
Identification d’un utilisateur.
Type d’événement.
Date et heure.
Indication de succès ou d’échec.
Origine d’un événement.
Identité ou nom des données, du composant système, de la ressource ou du service affectés (par exemple, nom et protocole).
Voir Journaux d’audit dans Microsoft Entra ID

10.3 Les journaux d’audit sont protégés contre la destruction et les modifications non autorisées.

Exigences d’approche définie par PCI-DSS Aide et recommandations relatives à Microsoft Entra
10.3.1 L’accès en lecture aux fichiers des journaux d’audit est limité aux personnes ayant un besoin lié au travail. Les utilisateurs privilégiés peuvent interroger les journaux de Microsoft Entra ID. Rôles les moins privilégiés par tâche dans Microsoft Entra ID
10.3.2 Les fichiers journaux d’audit sont protégés pour empêcher toute modification par des personnes. Dans Microsoft Entra ID, vous ne pouvez pas effacer ou modifier les journaux.
Lorsque des journaux d’audit sont exportés vers des systèmes tels qu’un espace de travail Azure Log Analytics, des comptes de stockage ou des systèmes SIEM tiers, surveillez leur accès.
10.3.3 Des fichiers journaux d’audit, y compris ceux des technologies externes, sont sauvegardés rapidement sur un ou plusieurs serveurs de journaux internes sécurisés, centraux ou d’autres supports difficiles à modifier. Dans Microsoft Entra ID, vous ne pouvez pas effacer ou modifier les journaux.
Lorsque des journaux d’audit sont exportés vers des systèmes tels qu’un espace de travail Azure Log Analytics, des comptes de stockage ou des systèmes SIEM tiers, surveillez leur accès.
10.3.4 Des mécanismes de surveillance de l’intégrité de fichiers ou de détection des modifications sont utilisés sur des journaux d’audit pour veiller à ce que des données de journal existantes ne puissent pas être modifiées sans générer des alertes. Dans Microsoft Entra ID, vous ne pouvez pas effacer ou modifier les journaux.
Lorsque des journaux d’audit sont exportés vers des systèmes tels qu’un espace de travail Azure Log Analytics, des comptes de stockage ou des systèmes SIEM tiers, surveillez leur accès.

10.4 Des journaux d’audit sont examinés pour identifier des anomalies ou des activités suspectes.

Exigences d’approche définie par PCI-DSS Aide et recommandations relatives à Microsoft Entra
10.4.1 Les journaux d’audit suivants sont examinés au moins une fois par jour :
Tous les événements de sécurité.
Des journaux de tous les composants système qui stockent, traitent ou transmettent des données relatives aux titulaires de cartes (CHD) et/ou des données d'authentification sensibles (SAD). Des journaux d’activité de tous les composants système critiques.
Des journaux de tous les serveurs et composants système qui exécutent des fonctions de sécurité (par exemple, des contrôles de sécurité réseau, des systèmes de détection d’intrusion/systèmes de prévention d’intrusion (IDS/IPS), des serveurs d’authentification).
Incluez les journaux Microsoft Entra dans ce processus.
10.4.1.1 Des mécanismes automatisés sont utilisés pour effectuer des révisions de journaux d’audit. Incluez les journaux Microsoft Entra dans ce processus. Configurez des actions et des alertes automatisées lorsque les journaux Microsoft Entra sont intégrés à Azure Monitor. Déployer Azure Monitor : Alertes et actions automatisées
10.4.2 Des journaux de tous les autres composants système (ceux qui ne sont pas spécifiés dans l’Exigence 10.4.1) sont examinés régulièrement. Non applicable à Microsoft Entra ID.
10.4.2.1 La fréquence des révisions périodiques des journaux pour tous les autres composants système (non définis dans l’Exigence 10.4.1) est définie dans l’analyse des risques ciblés de l’entité, qui est effectuée en fonction de l’ensemble des éléments spécifiés dans l’Exigence 12.3.1 Non applicable à Microsoft Entra ID.
10.4.3 Des exceptions et des anomalies identifiées pendant le processus d’examen. Non applicable à Microsoft Entra ID.

10.5 Un historique du journal d’audit est conservé et disponible pour analyse.

Exigences d’approche définie par PCI-DSS Aide et recommandations relatives à Microsoft Entra
10.5.1 Conserver un historique des journaux d’audit pendant au moins 12 mois, les trois derniers mois au minimum étant immédiatement disponibles pour analyse. Intégrez à Azure Monitor et exportez les journaux pour un archivage à long terme. Intégrer les journaux Microsoft Entra aux journaux Azure Monitor
Découvrez la stratégie de rétention des données des journaux Microsoft Entra. Rétention des données Microsoft Entra

10.6 Des mécanismes de synchronisation de l’heure prennent en charge des paramètres d’heure cohérents sur tous les systèmes.

Exigences d’approche définie par PCI-DSS Aide et recommandations relatives à Microsoft Entra
10.6.1 Des horloges système et d’heure sont synchronisées à l’aide d’une technologie de synchronisation horaire. Découvrez le mécanisme de synchronisation horaire dans des services Azure. Synchronisation de l’heure pour des services financiers dans Azure
10.6.2 Des systèmes sont configurés sur l’heure correcte et cohérente comme suit :
un ou plusieurs serveurs de temps désignés sont en cours d’utilisation.
Seul le ou les serveurs de temps centraux désignés reçoivent l’heure de sources externes.
L’heure reçue de sources externes est basée sur le Temps atomique international ou le Temps universel coordonné (UTC).
Le ou les serveurs de temps désignés acceptent les mises à jour d’heure uniquement à partir de sources externes spécifiques acceptées par le secteur d’activité.
Lorsqu’il existe plusieurs serveurs de temps désignés, ils s’appairent entre eux pour conserver une heure précise.
Des systèmes internes reçoivent des informations d’heure uniquement à partir du ou des serveurs de temps centraux désignés.
Découvrez le mécanisme de synchronisation horaire dans des services Azure. Synchronisation de l’heure pour des services financiers dans Azure
10.6.3 Des paramètres et des données de synchronisation horaire sont protégés comme suit :
L’accès aux données de l’heure est limité aux seuls membres du personnel ayant un besoin professionnel.
Toutes les modifications apportées aux paramètres de temps sur des systèmes critiques sont enregistrées, surveillées et examinées.
Microsoft Entra ID se base sur des mécanismes de synchronisation horaire dans Azure.
Des procédures Azure synchronisent des serveurs et des appareils réseau avec des serveurs de temps NTP Stratum-1 synchronisés avec des satellites du système de positionnement mondial (GPS). La synchronisation se produit toutes les cinq minutes. Azure vérifie l’heure de synchronisation des hôtes de service. Synchronisation horaire pour des services financiers dans Azure
Les composants hybrides dans Microsoft Entra ID, tels que les serveurs Microsoft Entra Connect, interagissent avec l’infrastructure locale. Le client est propriétaire de la synchronisation horaire des serveurs locaux.

10.7 Les défaillances des systèmes de contrôle de sécurité critiques sont détectées, signalées et traitées rapidement.

Exigences d’approche définie par PCI-DSS Aide et recommandations relatives à Microsoft Entra
10.7.2Exigences supplémentaires pour les fournisseurs de services uniquement : les échecs des systèmes de contrôle de sécurité critiques sont détectés, signalés et traités rapidement, y compris, mais sans s’y limiter, les échecs des systèmes de contrôle de sécurité critiques suivants :
Contrôles de sécurité réseau
IDS/IPS
Surveillance de l’intégrité des fichiers (FIM)
Solutions anti-programme malveillant
Contrôles d’accès physique
Contrôles d’accès logique
Mécanisme de journalisation d’audit
Contrôles de segmentation (si utilisés)
Microsoft Entra ID se base sur des mécanismes de synchronisation horaire dans Azure.
Azure prend en charge l’analyse des événements en temps réel dans son environnement opérationnel. Les systèmes d’infrastructure Azure internes génèrent des alertes d’événements en quasi-temps réel sur une compromission potentielle.
10.7.2 Des échecs des systèmes de contrôle de sécurité critiques sont détectés, font l’objet d’une alerte et sont traités rapidement, y compris, mais sans s’y limiter, les défaillances des systèmes de contrôle de sécurité critiques suivants :
Contrôles de sécurité réseau
IDS/IP
Mécanismes de détection des changements
Solutions anti-programmes malveillants
Contrôles d’accès physique
Contrôles d’accès logique
Mécanismes de journalisation d’audit
Contrôles de segmentation (le cas échéant)
Mécanismes de révision de journaux d’audit
Outils de test de sécurité automatisés (le cas échéant)
Voir le guide des opérations de sécurité Microsoft Entra
10.7.3 Des échecs de tous les systèmes de contrôle de sécurité critiques sont rapidement traités, y compris, mais sans s’y limiter :
Restauration des fonctions de sécurité.
Identification et documentation de la durée (date et heure du début et à la fin) de l’échec de sécurité.
Identifier et documenter la ou les causes de l’échec et documenter des corrections requises.
Identification et résolution des problèmes de sécurité survenus pendant l’échec.
Déterminer si d’autres actions sont nécessaires à la suite d’un échec de sécurité.
Implémentation de contrôles pour empêcher la répétition de la cause de l’échec.
Reprise de la surveillance des contrôles de sécurité.
Voir le guide des opérations de sécurité Microsoft Entra

Étapes suivantes

Les exigences 3, 4, 9 et 12 de la norme PCI-DSS ne s’appliquent pas à Microsoft Entra ID. Par conséquent, il n’existe aucun article correspondant. Pour consulter toutes les exigences, rendez-vous sur le site pcisecuritystandards.org : Site officiel du Conseil des normes de sécurité PCI.

Pour configurer Microsoft Entra ID pour qu'il soit conforme à PCI-DSS, consultez les articles suivants.