Outil d’automatisation de la conformité des applications pour Microsoft 365
Dans cet article, vous allez découvrir l’outil d’automatisation de la conformité des applications pour Microsoft 365 (ACAT) et comment il simplifie la conformité et l’obtention de la certification Microsoft 365.
Remarque
ACAT est actuellement en préversion publique et prend uniquement en charge les applications basées sur Azure. À l’avenir, il prendra également en charge les applications basées sur d’autres clouds ou sur une combinaison de différents clouds.
Remarque
Si vous souhaitez envoyer des commentaires à la préversion publique ACAT, remplissez ce formulaire. L’équipe produit ACAT effectuera un suivi avec vous dès que possible une fois que nous aurons obtenu vos messages.
Présentation de l’outil d’automatisation de la conformité des applications pour Microsoft 365
L’outil d’automatisation de la conformité des applications pour Microsoft 365 (ACAT) est un service du portail Azure qui permet de simplifier le parcours de conformité pour toute application qui consomme des données client Microsoft 365 et qui est publiée via l’Espace partenaires. Il s’agit d’un outil d’automatisation de conformité centré sur l’application qui vous aide à effectuer la certification Microsoft 365 avec plus de facilité et de commodité. Dans la préversion publique, ACAT est disponible pour les applications s’exécutant sur Azure.
Avec cet outil, vous serez rapidement en mesure de définir la limite de conformité de vos applications, de surveiller automatiquement les résultats de conformité et d’effectuer l’audit de conformité plus facilement. La limite de conformité est l’infrastructure cloud qui prend en charge la livraison de l’application et tous les systèmes back-end avec 2 2000.
En plus de fournir un suivi plus rapide vers la certification Microsoft 365, ACAT peut vous aider dans différents scénarios de conformité pour les applications Microsoft 365 :
- Vue détaillée et étapes de correction pour les responsabilités de la certification Microsoft 365.
- Rapports quotidiens automatiques pour vous aider à obtenir des résultats de conformité en continu.
- Bonnes pratiques de sécurité et de conformité qui peuvent être utilisées comme conseils dans la phase initiale du cycle de vie de votre application.
Avantages d’ACAT
Parcours de conformité centré sur l’application.
- ACAT signale des évaluations de conformité pour l’environnement cloud de vos applications, que vous pouvez intégrer à votre stratégie de conformité d’infrastructure cloud actuelle.
- Les développeurs peuvent appeler ACAT même pendant la phase de développement de l’application.
Accélère le processus de certification Microsoft 365.
- ACAT automatise entièrement certains contrôles de certification Microsoft 365.
- Il existe une liste d’automatisation en constante évolution qui est activement développée par Microsoft.
Intégration native au workflow de certification Microsoft 365.
- ACAT est entièrement intégré à l’Espace partenaires à des fins de certification Microsoft 365.
Maintenez votre application ou votre environnement conforme en continu.
- ACAT garantit des mises à jour quotidiennes des évaluations de conformité, en les adaptant à votre paramètre de temps de déclencheur spécifié.
- ACAT vous permet d’intégrer en toute transparence les évaluations de conformité dans GitHub Actions ou d’autres pipelines CI/CD, ce qui garantit une surveillance continue.
Concepts d’ACAT
Rapport de conformité réglementaire
Dans ACAT, vous pouvez auditer l’état de conformité de l’application en créant un rapport de conformité pour celle-ci. Vous pouvez définir la limite de conformité pour votre application en spécifiant les ressources Azure qui génèrent l’application. Créez plusieurs rapports pour une application, en fonction de différents environnements et phases de développement.
Une fois le rapport créé, ACAT commence à collecter les données de conformité sur votre temps de déclencheur prédéfini, puis à générer les résultats de conformité sous forme de rapport pour vous. Pendant ce temps, ACAT surveille en permanence les modifications de conformité pour votre rapport de conformité, jusqu’à ce que vous choisissiez de supprimer le rapport.
Contrôle de certification Microsoft 365
ACAT accélérant la certification Microsoft 365 en automatisant les contrôles de conformité. En fonction de l’état de l’automatisation, il existe trois types de contrôles de conformité définis dans ACAT.
- Contrôle entièrement automatisé : le contrôle de certification Microsoft est entièrement automatisé par ACAT.
- Contrôle manuel automatisé partiel : ACAT peut automatiser les responsabilités partielles du contrôle de certification Microsoft 365. Vous devez suivre les instructions fournies par ACAT pour remplir les responsabilités restantes.
- Contrôle entièrement manuel : vous devez suivre les instructions fournies par ACAT pour remplir toutes les responsabilités.
À long terme, ACAT améliore en permanence la couverture de l’automatisation des contrôles de certification Microsoft 365.
Responsabilités du client
Un ensemble de responsabilités client associées à chaque contrôle doivent être satisfaites. Il s’agit de responsabilités que vous conservez dans les domaines suivants : données, points de terminaison, compte, gestion des accès, etc.
Responsabilité manuelle du client : vous devez préparer vos preuves de conformité et les charger sur ACAT. ACAT transfère ensuite vos preuves à l’Espace partenaires lorsque vous soumettez votre rapport ACAT.
Responsabilité client d’évaluation automatisée : ACAT peut collecter des données pour chaque responsabilité et fournir un résultat d’évaluation. Vous devez traiter les ressources non saines en les corrigeant ou en fournissant des preuves de conformité supplémentaires pour justifier l’état actuel de la ressource.
Responsabilité client de collecte automatisée de preuves : pour les rapports contenant des ressources prises en charge par la fonctionnalité de collecte automatisée de preuves d’ACAT, ACAT offre une assistance simplifiée pour préparer des preuves de conformité par le biais d’un processus simple de clic sur un bouton. Si la liste des ressources du rapport ne contient pas de ressources prises en charge, vous conservez toujours la possibilité de charger manuellement vos preuves de conformité.
L’évaluation automatisée et les responsabilités des clients de collecte de preuves automatisées vous fournissent des actions de correction, qui sont nos recommandations pour vous aider à vous aligner sur les normes de certification Microsoft 365.
Remarque
Les responsabilités des clients de l’évaluation automatisée sont refrshées quotidiennement en fonction de l’heure de déclenchement planifiée. Toutefois, les responsabilités des clients en matière de collecte de preuves automatisée ne peuvent être actualisées qu’à la demande en cliquant sur le bouton « Collecte automatisée de preuves par ACAT ».
Comprendre l’état de conformité des contrôles de certification Microsoft 365
Dans le rapport de conformité réglementaire, ACAT définit les responsabilités du client pour chaque contrôle entièrement automatisé et contrôle manuel automatisé partiel. Il existe deux états de conformité pour la responsabilité du client.
- Réussite : les ressources cloud applicables à cette responsabilité client sont saines.
- Échec : il existe au moins une ressource cloud non saine. Vous pouvez suivre les étapes de correction pour résoudre les ressources non saines.
- N/A : Aucune ressource cloud n’est applicable à la responsabilité du client, ou cette responsabilité client est considérée comme inapplicable en fonction de la configuration de l’application pour ce rapport.
- Examen de conformité des applications requis : vous collectez manuellement les preuves et les chargez dans cette responsabilité client. Un analyste effectuera un examen approfondi après avoir envoyé la demande de certification Microsoft 365 dans Microsoft Partner Network.
Les états de conformité des contrôles de certification Microsoft 365 s’appuient sur les états de conformité des responsabilités du client.
- Réussite : aucune responsabilité du client n’est dans l’état « Échec » ou « Examen de conformité des applications requis » pour ce contrôle de certification Microsoft 365.
- Échec : Au moins une responsabilité du client a échoué par rapport à ce contrôle de certification Microsoft 365.
- N/A : Toutes les responsabilités du client pour ce contrôle de certification Microsoft 365 sont dans l’état « N/A ».
- Examen de conformité des applications requis : au moins une responsabilité du client est dans l’état « Révision de conformité des applications requise ». Un analyste effectuera un examen approfondi après avoir envoyé la demande de certification Microsoft 365 dans Microsoft Partner Network.
FAQ
Que sont les contrôles manuels et les contrôles partiellement automatisés ?
Chaque contrôle de conformité est lié à un ensemble spécifique de responsabilités client, avec ACAT qui collecte les données de conformité en conséquence. Il est important de noter que, désormais, ACAT ne couvre pas tous les contrôles pour la certification Microsoft 365 (bien que des efforts soient en cours pour étendre la couverture). Dans le cas de contrôles partiellement automatisés, ACAT automatise des aspects spécifiques des responsabilités du client. Les résultats de l’évaluation d’un contrôle partiellement automatisé contribuent à l’audit de la certification Microsoft 365, et d’autres actions sont nécessaires de votre part pour répondre aux exigences restantes. Toutefois, pour les contrôles manuels, ACAT n’automatise actuellement aucune responsabilité du client.
Comment savoir si le contrôle est entièrement automatisé ?
ACAT améliore en permanence l’automatisation du contrôle. Voici l’état actuel de l’automatisation des contrôles.
| Domaine de sécurité | Famille de contrôles | Numéro de contrôle | État de l’automatisation ACAT |
|---|---|---|---|
| Sécurité opérationnelle | Formation de sensibilisation | Contrôle 1 | Manuel |
| Sécurité opérationnelle | Protection contre les programmes malveillants - Antivirus | Contrôle 2 | Entièrement automatisé |
| Sécurité opérationnelle | Protection contre les programmes malveillants - Contrôle d’application | Contrôle 3 | Manuel |
| Sécurité opérationnelle | Gestion des correctifs - Mise à jour corrective & classement des risques | Contrôle 4 | Manuel |
| Sécurité opérationnelle | Gestion des correctifs - Mise à jour corrective & classement des risques | Contrôle 5 | Automatisé partiel |
| Sécurité opérationnelle | Analyse des vulnérabilités | Contrôle 6 | Entièrement automatisé |
| Sécurité opérationnelle | Analyse des vulnérabilités | Contrôle 7 | Entièrement automatisé |
| Sécurité opérationnelle | Contrôles de sécurité réseau (NSC) | Contrôle 8 | Automatisé partiel |
| Sécurité opérationnelle | Contrôles de sécurité réseau (NSC) | Contrôle 9 | Automatisé partiel |
| Sécurité opérationnelle | Modifier le contrôle | Contrôle 10 | Manuel |
| Sécurité opérationnelle | Modifier le contrôle | Contrôle 11 | Manuel |
| Sécurité opérationnelle | Développement/déploiement de logiciels sécurisés | Contrôle 12 | Manuel |
| Sécurité opérationnelle | Développement/déploiement de logiciels sécurisés | Contrôle 13 | Automatisé partiel |
| Sécurité opérationnelle | Gestion des comptes | Contrôle 14 | Automatisé partiel |
| Sécurité opérationnelle | Gestion des comptes | Contrôle 15 | Automatisé partiel |
| Sécurité opérationnelle | Gestion des comptes | Contrôle 16 | Automatisé partiel |
| Sécurité opérationnelle | Journalisation, révision et alertes des événements de sécurité | Contrôle 17 | Entièrement automatisé |
| Sécurité opérationnelle | Journalisation, révision et alertes des événements de sécurité | Contrôle 18 | Entièrement automatisé |
| Sécurité opérationnelle | Journalisation, révision et alertes des événements de sécurité | Contrôle 19 | Manuel |
| Sécurité opérationnelle | Journalisation, révision et alertes des événements de sécurité | Contrôle 20 | Entièrement automatisé |
| Sécurité opérationnelle | Gestion des risques liés à la sécurité des informations | Contrôle 21 | Manuel |
| Sécurité opérationnelle | Gestion des risques liés à la sécurité des informations | Contrôle 22 | Manuel |
| Sécurité opérationnelle | Gestion des risques liés à la sécurité des informations | Contrôle 23 | Manuel |
| Sécurité opérationnelle | Gestion des risques liés à la sécurité des informations | Contrôle 24 | Manuel |
| Sécurité opérationnelle | Réponse aux incidents de sécurité | Contrôle 25 | Manuel |
| Sécurité opérationnelle | Réponse aux incidents de sécurité | Contrôle 26 | Manuel |
| Sécurité opérationnelle | Réponse aux incidents de sécurité | Contrôle 27 | Manuel |
| Sécurité opérationnelle | Plan de continuité d’activité (BCP) et plan de récupération d’urgence | Contrôle 28 | Automatisé partiel |
| Sécurité opérationnelle | Plan de continuité d’activité (BCP) et plan de récupération d’urgence | Contrôle 29 | Automatisé partiel |
| Sécurité opérationnelle | Plan de continuité d’activité (BCP) et plan de récupération d’urgence | Contrôle 30 | Manuel |
| Gestion des données - Sécurité & Confidentialité | Données en transit | Contrôle 1 | Entièrement automatisé |
| Gestion des données - Sécurité & Confidentialité | Données en transit | Contrôle 2 | Entièrement automatisé* |
| Gestion des données - Sécurité & Confidentialité | Données au repos | Contrôle 3 | Entièrement automatisé |
| Gestion des données - Sécurité & Confidentialité | Conservation, sauvegarde et élimination des données | Contrôle 4 | Manuel |
| Gestion des données - Sécurité & Confidentialité | Conservation, sauvegarde et élimination des données | Contrôle 5 | Manuel |
| Gestion des données - Sécurité & Confidentialité | Conservation, sauvegarde et élimination des données | Contrôle 6 | Automatisé partiel |
| Gestion des données - Sécurité & Confidentialité | Conservation, sauvegarde et élimination des données | Contrôle 7 | Automatisé partiel |
| Gestion des données - Sécurité & Confidentialité | Gestion de l’accès aux données | Contrôle 8 | Automatisé partiel |
| Gestion des données - Sécurité & Confidentialité | Gestion de l’accès aux données | Contrôle 9 | Manuel |
| Gestion des données - Sécurité & Confidentialité | Confidentialité | Contrôle 10 | Manuel |
| Gestion des données - Sécurité & Confidentialité | Confidentialité | Contrôle 11 | Automatisé partiel |
| Gestion des données - Sécurité & Confidentialité | RGPD | Contrôle 12 | Automatisé partiel |
| Gestion des données - Sécurité & Confidentialité | RGPD | Contrôle 13 | Manuel |
| Gestion des données - Sécurité & Confidentialité | HIPAA | Contrôle 14 | Manuel |
| Gestion des données - Sécurité & Confidentialité | HIPAA | Contrôle 15 | Manuel |
Remarque
L’état d’automatisation ACAT exprime l’étendue de l’automatisation qu’ACAT peut vous aider à préparer la preuve de conformité pour un contrôle.
- Manuel : vous devez préparer manuellement toutes les preuves de conformité pour chaque responsabilité client sous ce contrôle.
- Automatisé partiel : ce contrôle a une combinaison de responsabilités du client, notamment les évaluations automatisées, la collecte automatisée de preuves et les responsabilités manuelles des clients. Vous devez corriger les responsabilités des clients défaillantes et tirer parti de la fonctionnalité de collecte automatisée de preuves pour la collecte de preuves. Pour les responsabilités manuelles, assurez-vous de fournir les preuves de conformité nécessaires et de les charger dans l’ACAT.
- Entièrement automatisé : toutes les responsabilités du client sous ce contrôle sont des responsabilités client d’évaluation automatisée ou des responsabilités client de collecte de preuves automatisées.
J’ai fait la base des modifications suggérées sur la suggestion de correction, mais le contrôle échoue toujours
Après avoir pris des mesures correctives pour résoudre l’échec, accordez à ACAT le temps de récupérer les résultats d’évaluation mis à jour pour l’état du contrôle. Les évaluations sont effectuées toutes les 24 heures, en fonction de votre temps de déclenchement prédéterminé.
Comment le rapport de conformité est-il utilisé dans le processus de certification ?
ACAT est intégré en toute transparence à l’Espace partenaires pour effectuer votre parcours de certification Microsoft 365. En savoir plus sur l’utilisation du rapport de conformité pour accélérer la certification Microsoft 365