Scoring du Gestionnaire de conformité
Importante
Les recommandations du Gestionnaire de conformité ne doivent pas être interprétées comme des garanties de conformité. Il vous revient d’évaluer et de valider l’efficacité des contrôles clients en fonction de votre environnement réglementaire. Ces services sont soumis aux conditions générales des Conditions générales du produit. Pour plus d’informations sur la sécurité et la conformité, consultez également guide de gestion des licences Microsoft 365.
Conseil
Si vous n’êtes pas un client E5, utilisez la version d’évaluation de 90 jours des solutions Microsoft Purview pour découvrir comment des fonctionnalités Supplémentaires purview peuvent aider vos organization à gérer les besoins en matière de sécurité et de conformité des données. Commencez dès maintenant au hub d’essais portail de conformité Microsoft Purview. En savoir plus sur les conditions d’inscription et d’essai.
Comprendre votre score de conformité
Le tableau de bord du Gestionnaire de conformité affiche votre score de conformité global. Ce score mesure votre progression dans l’exécution des actions d’amélioration recommandées dans les contrôles. Votre score peut vous aider à comprendre votre posture de conformité actuelle. Il peut également vous aider à hiérarchiser les actions en fonction de leur potentiel de réduction des risques.
Une valeur de score est affectée à ces niveaux :
Action d’amélioration : chaque action a un impact différent sur votre score en fonction du risque potentiel impliqué. Pour plus d’informations, consultez Types d’action et scoring ci-dessous.
Évaluation : ce score est calculé à l’aide des scores d’action d’amélioration. Chaque action Microsoft et chaque action d’amélioration gérées par votre organization sont comptées une seule fois, quelle que soit la fréquence à laquelle elles sont référencées dans un contrôle.
Le score de conformité global est calculé à l’aide des scores d’action, où chaque action Microsoft est comptée une fois, chaque action technique que vous gérez est comptée une fois et chaque action non technique que vous gérez est comptée une fois par groupe. Cette logique est conçue pour fournir la comptabilité la plus précise de la façon dont les actions sont implémentées et testées dans votre organization. Vous remarquerez peut-être que votre score de conformité global peut différer de la moyenne de vos scores d’évaluation. En savoir plus ci-dessous sur la façon dont les actions sont notées.
Score initial basé sur la base de référence de protection des données Microsoft 365
Le Gestionnaire de conformité vous donne un score initial basé sur la base de référence de protection des données Microsoft 365. Cette base de référence est un ensemble de contrôles qui inclut des réglementations et des normes clés pour la protection des données et la gouvernance générale des données. Cette base de référence s’appuie principalement sur les éléments du NIST CSF (National Institute of Standards and Technology Cybersecurity Framework) et de l’ISO (Organisation internationale de normalisation), ainsi que du FedRAMP (Federal Risk and Authorization Management Program) et du RGPD (Règlement général sur la protection des données de l’Union européenne).
Votre score initial est calculé en fonction de l’évaluation par défaut de la base de référence de protection des données fournie à toutes les organisations. Lors de votre première visite, le Gestionnaire de conformité collecte déjà les signaux de vos solutions Microsoft 365. Vous voyez en un coup d’œil les performances de votre organization par rapport aux normes et réglementations de protection des données clés, et vous voyez les actions d’amélioration suggérées à prendre.
Étant donné que chaque organization a des besoins spécifiques, le Gestionnaire de conformité s’appuie sur vous pour configurer et gérer les évaluations afin de réduire et d’atténuer les risques de manière aussi complète que possible.
Types d’actions et scoring
Les actions d’amélioration ont des points qui sont attribués lorsque vous remplissez les conditions requises pour l’implémentation. Votre status d’action est mis à jour sur votre tableau de bord dans les 24 heures suivant une modification. Une fois que vous avez suivi une recommandation pour implémenter un contrôle, vous voyez généralement le contrôle status mis à jour le lendemain.
Des points sont attribués par action et par évaluation. Par exemple, si une action vaut 10 points mais qu’elle apparaît dans deux évaluations, l’action vaut 20 points au total pour votre locataire.
Actions pour les services pris en charge par Microsoft Defender pour le cloud
Le score global d’une action d’amélioration est basé sur la moyenne des scores reçus par ses abonnements. Chaque abonnement est noté en fonction de la status des ressources virtuelles pertinentes.
Par exemple, considérez une action avec deux abonnements, A et B. L’abonnement A a 0 ressource sur 1 terminée, et l’abonnement B a 1 ressource sur 2 terminée. Les scores d’abonnement sont les suivants : A est 0 %, B 50 %. Les deux scores d’abonnement sont calculés en moyenne pour obtenir le score d’action global de 25 %.
Actions techniques et non techniques
L’impact du scoring des actions techniques et non techniques est le suivant :
Actions techniques : les points sont accordés une fois par action, quel que soit le nombre de groupes auxquels l’action appartient.
Actions non techniques : les points sont appliqués à votre score de conformité au niveau du groupe. Cela signifie que si une action existe dans plusieurs groupes, vous recevez la valeur de point de l’action chaque fois que vous l’implémentez dans un groupe.
Exemple de notation des actions techniques et non techniques :
Supposons que vous ayez une action technique de 3 points qui existe dans 5 groupes, et que vous ayez une action non technique de 3 points qui existe dans les mêmes 5 groupes.
Si vous implémentez correctement l’action technique, le nombre total de points que vous recevez est de 3. Cela est dû au fait que vous ne devez implémenter l’action qu’une seule fois pour votre locataire. Les status d’implémentation et de test de l’action technique sont identiques dans toutes les instances de cette action, dans chaque groupe auquel elle appartient.
Si vous implémentez correctement l’action non technique dans chacun des 5 groupes, le nombre total de points que vous recevez est de 15. Cela est dû au fait que vous devez implémenter l’action dans chaque groupe. Les status d’implémentation et de test pour l’action non technique varient d’un groupe à l’autre, car l’action est implémentée séparément dans chacun de ses groupes.
Cette logique de scoring est conçue pour fournir la comptabilité la plus précise de la façon dont les actions sont implémentées et testées dans votre organization.
Comment les valeurs de score sont déterminées
Une valeur de score est attribuée aux actions selon qu’elles sont obligatoires ou discrétionnaires, et qu’elles soient préventives, détectives ou correctives.
Actions obligatoires et discrétionnaires
Les actions obligatoires ne peuvent pas être contournées, intentionnellement ou accidentellement. Une stratégie de mot de passe gérée de manière centralisée est un exemple d’action obligatoire qui définit des exigences en matière de longueur, de complexité et d’expiration du mot de passe. Les utilisateurs doivent respecter ces exigences pour accéder au système.
Les actions discrétionnaires s’appuient sur les utilisateurs pour comprendre et respecter une stratégie. Par exemple, une stratégie exigeant que les utilisateurs verrouillent leur ordinateur sans assistance est une action discrétionnaire, car elle s’appuie sur l’utilisateur.
Actions préventives, détectives et correctives
Les actions préventives gèrent des risques spécifiques. Par exemple, la protection des informations au repos à l’aide du chiffrement est une action préventive contre les attaques et les violations. La répartition des tâches est également une action préventive qui permet de gérer les conflits d’intérêts, puis de lutter contre la fraude.
Les actions de détection surveillent activement les systèmes pour identifier les conditions ou les comportements irréguliers qui représentent un risque, ou qui peuvent être utilisés pour détecter les intrusions ou les violations. Par exemple, l’audit de l’accès système et les actions d’administration privilégiées. Les audits de conformité réglementaire sont un type d’action détective utilisée pour identifier les problèmes de processus.
Les actions correctives tentent de limiter au minimum les effets négatifs d’un incident de sécurité, de prendre des mesures correctives pour réduire l’effet immédiat et d’annuler les dommages si possible. Une réponse à un incident de confidentialité est une action corrective visant à limiter les dommages, puis à remettre les systèmes en état de fonctionnement après une violation.
Chaque action a une valeur affectée dans le Gestionnaire de conformité en fonction du risque qu’elle représente :
| Type | Score attribué |
|---|---|
| Préventif obligatoire | 27 |
| Discrétionnaire préventive | 9 |
| Détective obligatoire | 3 |
| Détective discrétionnaire | 1 |
| Corrective obligatoire | 3 |
| Discrétionnaire corrective | 1 |
Commentaires
Envoyer et afficher des commentaires pour