Microsoft Entra ID et exigence PCI-DSS 5
Condition requise 5 : Protéger tous les systèmes et réseaux des logiciels malveillants
Exigences d’approche définies
5.1 Les processus et mécanismes de protection de tous les systèmes et réseaux contre les logiciels malveillants sont définis et compris.
| Conditions requises d’approche définie par PCI-DSS | Aide et recommandations relatives à Microsoft Entra |
|---|---|
| 5.1.1 Toutes les stratégies de sécurité et procédures opérationnelles qui sont identifiées dans la condition requise 5 sont : Documentées Tenues à jour En place Connues de toutes les parties concernées |
Utilisez l’aide et les liens ci-dessous pour produire la documentation et répondre aux conditions requises selon la configuration de votre environnement. |
| 5.1.2 Les rôles et responsabilités liés à l’exécution des activités mentionnées dans la condition requise 5 sont documentés, attribués et compris. | Utilisez l’aide et les liens ci-dessous pour produire la documentation et répondre aux conditions requises selon la configuration de votre environnement. |
5.2 Les logiciels malveillants sont endigués ou détectés et traités.
| Conditions requises d’approche définie par PCI-DSS | Aide et recommandations relatives à Microsoft Entra |
|---|---|
| 5.2.1 Une ou plusieurs solutions anti-programmes malveillants sont déployées sur tous les composants système, à l’exception des composants système identifiés dans les évaluations périodiques conformément à l’exigence 5.2.3 qui conclut que les composants système ne sont pas exposés aux risques provenant de programmes malveillants. | Déployez des stratégies d’accès conditionnel qui nécessitent une conformité des appareils. Utilisez des stratégies de conformité pour définir des règles pour les appareils que vous gérez avec Intune Intégrez l’état de conformité des appareils aux solutions anti-programme malveillant. Appliquez la conformité à Microsoft Defender for Endpoint avec l’accès conditionnel de Microsoft Intune Intégration de la défense contre les menaces mobiles à Intune |
| 5.2.2 La ou les solutions anti-programmes malveillants déployées : détecte tous les types connus de programmes malveillants. Supprime, bloque ou contient tous les types connus de programmes malveillants. |
Non applicable à Microsoft Entra ID. |
| 5.2.3 Tous les composants système qui ne sont pas à risque pour les programmes malveillants sont évalués régulièrement pour inclure les éléments suivants : Liste documentée de tous les composants système non à risque pour les programmes malveillants. Identification et évaluation des menaces de programmes malveillants en constante évolution pour ces composants système. Confirmation que ces composants système continuent de ne pas nécessiter de protection contre les programmes malveillants. |
Non applicable à Microsoft Entra ID. |
| 5.2.3.1 La fréquence des évaluations périodiques des composants système identifiés comme n’étant pas à risque pour les programmes malveillants est définie dans l’analyse des risques ciblés de l’entité, qui est effectuée en fonction de tous les éléments spécifiés dans l’Exigence 12.3.1. | Non applicable à Microsoft Entra ID. |
5.3 Des mécanismes et processus anti-programme malveillant sont actifs, gérés et surveillés.
| Conditions requises d’approche définie par PCI-DSS | Aide et recommandations relatives à Microsoft Entra |
|---|---|
| 5.3.1 La ou les solutions anti-programme malveillant sont mises à jour via des mises à jour automatiques. | Non applicable à Microsoft Entra ID. |
| 5.3.2 La ou les solutions anti-programme malveillant : Effectuent des analyses périodiques et des analyses actives ou en temps réel. OU Effectuent une analyse comportementale continue des systèmes ou des processus. |
Non applicable à Microsoft Entra ID. |
| 5.3.2.1 Si des analyses périodiques de programmes malveillants sont effectuées pour répondre à l’exigence 5.3.2, la fréquence des analyses est définie dans l’analyse des risques ciblés de l’entité, qui est effectuée en fonction de tous les éléments spécifiés dans l’Exigence 12.3.1. | Non applicable à Microsoft Entra ID. |
| 5.3.3 Pour les supports électroniques amovibles, la ou les solutions anti-programmes malveillants : Effectuent des analyses automatiques du moment où le média est inséré, connecté ou monté logiquement, OU Effectuent une analyse comportementale continue des systèmes ou des processus lorsque le média est inséré, connecté ou monté logiquement. |
Non applicable à Microsoft Entra ID. |
| 5.3.4 Les journaux d’audit des solutions anti-programme malveillant sont activés et conservés conformément à la condition 10.5.1. | Non applicable à Microsoft Entra ID. |
| 5.3.5 Les mécanismes anti-programme malveillant ne peuvent pas être désactivés ou modifiés par les utilisateurs, sauf si cela a été spécifiquement documenté et autorisé par la direction au cas par cas pour une période limitée. | Non applicable à Microsoft Entra ID. |
5.4 Des mécanismes anti-hameçonnage protègent les utilisateurs contre les attaques par hameçonnage.
| Conditions requises d’approche définie par PCI-DSS | Aide et recommandations relatives à Microsoft Entra |
|---|---|
| 5.4.1 Des processus et des mécanismes automatisés sont en place pour détecter et protéger le personnel contre les attaques par hameçonnage. | Configurez Microsoft Entra ID pour utiliser des informations d’identification résistantes au hameçonnage. Considérations d’implémentation pour l’authentification MFA résistante au hameçonnage Utilisez des contrôles dans l’accès conditionnel pour exiger une authentification avec des informations d’identification résistantes au hameçonnage. Force de l’authentification de l’accès conditionnel Les conseils ci-dessous concernent la configuration de la gestion des identités et des accès. Pour atténuer les attaques par hameçonnage, déployez des fonctionnalités de charge de travail, telles que dans Microsoft 365. Protection anti-hameçonnage dans Microsoft 365 |
Étapes suivantes
Les exigences 3, 4, 9 et 12 de la norme PCI-DSS ne s’appliquent pas à Microsoft Entra ID. Par conséquent, il n’existe aucun article correspondant. Pour consulter toutes les exigences, rendez-vous sur le site pcisecuritystandards.org : Site officiel du Conseil des normes de sécurité PCI.
Pour configurer Microsoft Entra ID pour qu'il soit conforme à PCI-DSS, consultez les articles suivants.
- Aide relative à Microsoft Entra et à la norme PCI-DSS
- Exigence 1 : installer et gérer des contrôles de sécurité réseau
- Condition requise 2 : Appliquer des configurations sécurisées à tous les composants système
- Condition requise 5 : Protéger tous les systèmes et réseaux contre les logiciels malveillants (Vous êtes ici)
- Condition requise 6 : Développer et gérer des systèmes et logiciels sécurisés
- Exigence 7 : restreindre l’accès aux composants système et aux données des titulaires de carte aux seuls individus qui doivent les connaître
- Exigence 8 : identifier des utilisateurs et authentifier l’accès aux composants système
- Exigence 10 : Enregistrer et surveiller tous les accès aux composants système et aux données de titulaires de carte
- Exigence 11 : Tester régulièrement la sécurité des systèmes et des réseaux
- Aide relative à l’authentification multifacteur Microsoft Entra dans le cadre de la norme PCI-DSS
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour