Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Dans le cadre des conseils d’adoption de Confiance Zéro , cet article décrit le scénario métier de la conformité aux exigences réglementaires et de conformité qui peuvent être applicables à votre organisation.
Indépendamment de la complexité de l’environnement informatique de votre organization ou de la taille de votre organization, les nouvelles exigences réglementaires susceptibles d’affecter votre entreprise s’additionnent continuellement. Ces réglementations incluent le Règlement général sur la protection des données (RGPD) de l’Union européenne, la California Consumer Privacy Act (CCPA), une multitude de réglementations en matière de santé et d’informations financières et des exigences de résidence des données.
Le processus de conformité aux exigences réglementaires et de conformité peut être long, complexe et fastidieux lorsqu’il n’est pas géré correctement. Ce défi a considérablement augmenté la charge de travail des équipes de sécurité, de conformité et de réglementations pour atteindre et prouver la conformité, préparer un audit et mettre en place les meilleures pratiques en cours.
Une approche Confiance nulle dépasse souvent certains types d’exigences imposées par les réglementations de conformité, par exemple celles qui contrôlent l’accès aux données personnelles. Les organisations qui ont implémenté une approche Confiance nulle peuvent constater qu’elles remplissent déjà de nouvelles conditions ou peuvent facilement s’appuyer sur leur architecture Confiance nulle pour être conforme.
| Approches traditionnelles pour répondre aux exigences réglementaires et de conformité | Approche moderne pour répondre aux exigences réglementaires et de conformité avec Confiance Zéro |
|---|---|
| De nombreuses organisations utilisent différentes solutions héritées regroupées. Ces solutions ne fonctionnent souvent pas ensemble en toute transparence, exposant les lacunes de l’infrastructure et augmentant les coûts opérationnels. Certaines solutions spécialisées indépendantes peuvent même empêcher la conformité à certaines réglementations lorsque utilisées pour répondre à d'autres. L’un des exemples répandus est l’utilisation du chiffrement pour s’assurer que les personnes autorisées gèrent les données en toute sécurité. Toutefois, la plupart des solutions de chiffrement rendent les données opaques aux services tels que la protection contre la perte de données (DLP), la découverte électronique ou l’archivage. Le chiffrement empêche l’organisation d’effectuer une diligence raisonnable sur les actions effectuées par les utilisateurs qui utilisent des données chiffrées. Ce résultat force les organisations à prendre des décisions difficiles et risquées, telles que l’interdiction de toutes les utilisations de chiffrement au niveau du fichier pour les transferts de données sensibles ou de laisser les données chiffrées sortir de l’organisation sans spécification. |
Unifier votre stratégie et votre stratégie de sécurité avec une approche Confiance Zéro décompose les silos entre les équipes informatiques et les systèmes, ce qui permet une meilleure visibilité et une meilleure protection sur la pile informatique. Les solutions de conformité intégrées en mode natif, telles que celles de Microsoft Purview, fonctionnent non seulement ensemble pour prendre en charge vos exigences de conformité et celles d’une approche confiance zéro, mais elles le font avec une transparence totale, ce qui permet à chaque solution de tirer parti des avantages d’autres, comme la conformité des communications utilisant des étiquettes de confidentialité dans le contenu. Les solutions de conformité intégrées peuvent fournir la couverture requise avec des compromis minimes, tels que le contenu chiffré en cours de traitement transparent par eDiscovery ou les solutions DLP. La visibilité en temps réel permet la découverte automatique des ressources, notamment les ressources critiques et les charges de travail, tandis que les mandats de conformité peuvent être appliqués à ces ressources par le biais de la classification et de l’étiquetage de confidentialité. L’implémentation d’une architecture Confiance Zéro vous aide à répondre aux exigences réglementaires et de conformité avec une stratégie complète. L’utilisation de solutions Microsoft Purview dans une architecture Confiance Zéro vous permet de découvrir, de régir, de protéger et de gérer l’ensemble du patrimoine de données de votre organisation en fonction des réglementations qui affectent votre organisation. Les stratégies confiance zéro impliquent souvent l’implémentation de contrôles qui répondent ou dépassent certaines exigences réglementaires, ce qui réduit le fardeau d’effectuer des modifications à l’échelle du système pour respecter les nouvelles exigences réglementaires. |
Les conseils de cet article vous guident tout au long de la prise en main de Zero Trust en tant que framework pour répondre à vos exigences réglementaires et de conformité, en mettant l’accent sur la façon de communiquer et de travailler avec des responsables d’entreprise et des équipes au sein de votre organisation.
Cet article utilise les mêmes phases de cycle de vie que le Framework d’adoption du cloud pour Azure : définir une stratégie, planifier, préparer, adopter et gérer, mais adapté à Confiance Zéro.
Le tableau suivant est une version accessible de l’illustration.
| Définition de la stratégie | Plan | Prêt | Adopter | Gouverner et gérer |
|---|---|---|---|---|
| Alignement organisationnel Objectifs stratégiques Résultats |
Équipe des parties prenantes Plans techniques Préparation des compétences |
Évaluer Test Pilote |
Implémenter de manière incrémentielle dans votre écosystème numérique | Suivre et mesurer Surveiller et détecter Itérer pour atteindre la maturité |
Définir la phase de stratégie
La phase Définir la stratégie est essentielle à la définition et à la formalisation des efforts pour répondre au scénario « Pourquoi ? » de ce scénario. Dans cette phase, vous comprenez le scénario par le biais de perspectives réglementaires, commerciales, informatiques, opérationnelles et stratégiques.
Vous définissez ensuite les résultats sur lesquels mesurer le succès dans ce scénario, en comprenant que la conformité est un parcours incrémentiel et itératif.
Cet article suggère des motivations et des résultats pertinents pour de nombreuses organisations. Utilisez ces suggestions pour affiner la stratégie de votre organisation en fonction de vos besoins uniques.
Comprendre les motivations de vos dirigeants d’entreprise
Bien que Zero Trust puisse aider à rationaliser le processus de conformité aux exigences réglementaires, peut-être le plus grand défi est d’obtenir du soutien et de la contribution des leaders au sein de votre organisation. Ce guide d’adoption est conçu pour vous aider à communiquer avec eux afin de pouvoir obtenir un alignement organisationnel, définir vos objectifs stratégiques et identifier les résultats.
L’alignement commence par comprendre ce qui motive vos dirigeants et pourquoi ils doivent s’occuper de répondre aux exigences réglementaires. Le tableau suivant fournit des exemples de perspectives, mais il est important que vous rencontriez chacun de ces dirigeants et équipes et que vous compreniez les motivations des uns et des autres.
| Rôle | Pourquoi répondre aux exigences réglementaires est importante |
|---|---|
| Chef de la direction (PDG) | Responsable de la sécurisation de la stratégie organisationnelle validée par les organismes d’audit externes. Le PDG rend principalement compte à un conseil d’administration susceptible d'évaluer le niveau de conformité avec les exigences légales de l'organisation et les conclusions des audits annuels. |
| Directeur marketing (CMO) | Responsable de la garantie que les informations confidentielles de l’entreprise ne sont pas partagées en externe uniquement à des fins marketing. |
| Directeur informatique (CIO) | Est généralement l’agent d’information de l’organisation et sera tenu responsable des organismes de réglementation de l’information. |
| Directeur technique (CTO) | Responsable du maintien de la conformité réglementaire au sein du patrimoine numérique. |
| Chef de la sécurité des informations (CISO) | Responsable de l’adoption et de la conformité aux normes du secteur qui fournissent des contrôles directement liés à la conformité à la sécurité des informations. |
| Directeur des opérations (COO) | Garantit que les stratégies et procédures de l’entreprise relatives à la sécurité des informations, à la confidentialité des données et à d’autres pratiques réglementaires sont respectées au niveau opérationnel. |
| Directeur financier (DIRECTEUR FINANCIER) | Évalue les inconvénients financiers et les avantages de la conformité, tels que la cyber-assurance et la conformité fiscale. |
| Directeur des risques (CRO) | Possède le composant Risque de l’infrastructure de gouvernance et de conformité (GRC) au sein de l’organisation. Atténue les menaces liées à la non-conformité et à la conformité. |
Différentes parties de votre organisation peuvent avoir des motivations et des incitations différentes pour effectuer le travail des exigences réglementaires et de conformité. Le tableau suivant récapitule certaines de ces motivations. Veillez à communiquer avec vos parties prenantes pour comprendre leurs motivations.
| Domaine | Motivations |
|---|---|
| Besoins de l'entreprise | Pour respecter les exigences réglementaires et législatives qui s’appliquent. |
| Besoins informatiques | Pour implémenter des technologies qui automatisent la conformité aux exigences réglementaires et de conformité, telles que définies par votre organisation dans l’étendue des identités, des données, des appareils (points de terminaison), des applications et de l’infrastructure. |
| Besoins opérationnels | Implémentez des stratégies, des procédures et des instructions de travail qui sont référencées et alignées sur les normes du secteur pertinentes et les exigences de conformité pertinentes. |
| Besoins stratégiques | Réduisez le risque de violation des lois nationales, régionales et locales, ainsi que des dommages-intérêts financiers et publics potentiels pouvant résulter de violations. |
Utilisation de la pyramide de gouvernance pour informer la stratégie
La chose la plus importante à retenir avec ce scénario d’entreprise est que le cadre confiance zéro fait partie d’un modèle de gouvernance plus large qui établit la hiérarchie de diverses exigences législatives, législatives, réglementaires, politiques et procédurales au sein d’une organisation. Dans l’espace de conformité et de réglementation, il peut y avoir de nombreuses façons d’obtenir la même exigence ou le même contrôle. Il est important d’indiquer que cet article poursuit la conformité réglementaire à l’aide d’une approche confiance zéro.
Un modèle de stratégie souvent utilisé dans le cadre de la conformité réglementaire est la pyramide de gouvernance présentée ici.
Cette pyramide illustre les différents niveaux sur lesquels la plupart des organisations gèrent la gouvernance des technologies de l’information (IT). Du haut de la pyramide au bas, ces niveaux sont des lois, des normes, des politiques et des procédures et des instructions de travail.
Le haut de la pyramide représente le niveau le plus important : la législation. À ce niveau, la variation entre les organisations est moins importante parce que les lois s’appliquent largement à de nombreuses organisations, bien que les réglementations nationales et propres aux entreprises ne puissent s’appliquer qu’à certaines entreprises et non à d’autres. La base de la pyramide, des instructions de travail, représente la zone avec la plus grande variation et la surface d’implémentation au sein des organisations. Il s’agit du niveau qui permet à une organisation de tirer parti de la technologie pour répondre aux exigences les plus importantes pour les niveaux supérieurs.
Le côté droit de la pyramide fournit des exemples de scénarios où la conformité organisationnelle peut entraîner des résultats et des avantages positifs pour l’entreprise. La pertinence de l’entreprise crée davantage d’incitations pour les organisations à avoir une stratégie de gouvernance.
Le tableau suivant décrit comment les différents niveaux de gouvernance sur le côté gauche de la pyramide peuvent fournir les avantages stratégiques de l’entreprise à droite.
| Niveau de gouvernance | Pertinence et résultats stratégiques de l’entreprise |
|---|---|
| Législation et lois, considérées collectivement | La réussite des audits juridiques peut éviter des amendes et des pénalités et renforcer la confiance des consommateurs ainsi que la fidélité à la marque. |
| Les normes fournissent une base fiable pour que les personnes partagent les mêmes attentes concernant un produit ou un service | Les normes offrent une assurance qualité par le biais de divers contrôles de qualité de l’industrie. Certaines certifications ont également des avantages en cyber-assurance. |
| Les stratégies et procédures documentent les fonctions et opérations quotidiennes d’une organisation | De nombreux processus manuels liés à la gouvernance peuvent être rationalisés et automatisés. |
| Les instructions de travail décrivent comment effectuer un processus en fonction des stratégies et procédures définies en étapes détaillées | Les détails complexes des manuels et des documents d’instruction peuvent être simplifiés par la technologie. Cela peut considérablement réduire l’erreur humaine et gagner du temps. Par exemple, l’utilisation de stratégies d’accès conditionnel Microsoft Entra dans le cadre du processus d’intégration des employés. |
Le modèle pyramidal de gouvernance aide à concentrer les priorités :
Exigences législatives et légales
Les organisations peuvent subir de graves répercussions si elles ne sont pas suivies.
Normes spécifiques à l’industrie et de sécurité
Les organisations peuvent avoir une exigence du secteur d’être conforme ou certifiée avec une ou plusieurs de ces normes. L’infrastructure Confiance Zéro peut être mappée à diverses normes de sécurité, de sécurité des informations et de gestion de l’infrastructure.
Stratégies et procédures
Spécifiques à l’organisation et régissent les processus plus intrinsèques au sein de l’entreprise.
Instructions de travail
Contrôles détaillés hautement techniques et personnalisés pour que les organisations répondent aux stratégies et procédures.
Il existe plusieurs normes qui ajoutent la valeur la plus élevée aux zones de l’architecture Confiance Zéro. L’attention sur les normes suivantes qui s’appliquent à vous donnera plus d’impact :
Les benchmarks CIS (Center for Internet Security) fournissent des conseils précieux pour la gestion des appareils et les stratégies de gestion des points de terminaison. Les benchmarks CIS incluent des guides d’implémentation pour Microsoft 365 et Microsoft Azure. Les organisations de tous les secteurs et secteurs verticaux utilisent des benchmarks CIS pour les aider à atteindre les objectifs de sécurité et de conformité. surtout ceux qui opèrent dans des environnements fortement réglementés.
National Institute of Standards and Technology (NIST) fournit la publication spéciale NIST (NIST SP 800-63-4 ipd) Digital Identity Guidelines. Ces lignes directrices fournissent des exigences techniques pour les organismes fédéraux qui implémentent des services d’identité numérique et ne sont pas destinés à limiter le développement ou l’utilisation de normes en dehors de cet objectif. Il est important de noter que ces exigences sont apportées pour améliorer les protocoles existants qui font partie de la stratégie Confiance Zéro. Les organisations gouvernementales et publiques en particulier aux États-Unis s’abonnent à NIST, mais les sociétés cotées publiquement peuvent également utiliser les principes directeurs dans le cadre. NIST fournit également de l’aide pour l’implémentation d’une architecture Confiance Zéro dans les publications incluses dans NIST SP 1800-35.
La norme ISO 27002:2022 récemment révisée est recommandée pour la gouvernance globale des données et la sécurité des informations. Toutefois, les contrôles Annexe A constituent une bonne base pour créer une liste de contrôle des contrôles de sécurité, qui peuvent ensuite être convertis en objectifs utilisables.
ISO 27001:2022 fournit également des instructions complètes sur la façon dont la gestion des risques peut être implémentée dans le contexte de la sécurité des informations. Cela peut être particulièrement bénéfique avec le nombre de métriques disponibles pour les utilisateurs dans la plupart des portails et tableaux de bord.
Les normes comme celles-ci peuvent être hiérarchisées pour fournir à votre organisation une base de référence de stratégies et de contrôles pour répondre aux exigences courantes.
Microsoft fournit le Gestionnaire de conformité Microsoft Purview pour vous aider à planifier et à suivre la progression vers les normes de réunion qui s’appliquent à votre organisation. Le Gestionnaire de conformité peut vous aider tout au long de votre parcours de conformité, de l’inventaire des risques de protection de vos données à la gestion des complexités de l’implémentation de contrôles, la mise à jour des réglementations et des certifications et la création de rapports aux auditeurs.
Définition de votre stratégie
Du point de vue de la conformité, votre organisation doit définir sa stratégie en fonction de sa méthodologie intrinsèque DE GRC. Si l’organisation ne s’abonne pas à une norme, une stratégie ou une infrastructure spécifique, un modèle d’évaluation doit être obtenu auprès du Gestionnaire de conformité. Chaque abonnement Microsoft 365 actif reçoit une base de référence de protection des données qui peut être mappée à des instructions de déploiement Confiance Zéro. Cette base de référence donne à vos implémenteurs un point de départ idéal pour ce que l’implémentation pratique de Confiance Zéro à partir d’une perspective de conformité doit ressembler. Ces contrôles documentés peuvent ensuite être convertis en objectifs mesurables. Ces objectifs doivent être spécifiques, mesurables, réalisables, réalistes et limités au temps (SMART).
Le modèle de base de référence de protection des données dans Le Gestionnaire de conformité intègre 36 actions pour la confiance zéro, alignées sur les familles de contrôle suivantes :
- application Confiance nulle
- Confiance nulle Conseils de développement d’applications
- point de terminaison Confiance nulle
- données Confiance nulle
- identité Confiance nulle
- infrastructure Confiance nulle
- réseau Confiance nulle
- Confiance nulle visibilité, automatisation et orchestration
Celles-ci s’alignent fortement sur l’architecture de référence Confiance Zéro, illustrée ici.
Phase de planification
De nombreuses organisations peuvent adopter une approche en quatre étapes de ces activités techniques, résumées dans le tableau suivant.
| Étape 1 | Étape 2 | Étape 3 | Étape 4 |
|---|---|---|---|
| Identifiez les exigences réglementaires qui s’appliquent à votre organisation. Utilisez le Gestionnaire de conformité pour identifier les réglementations susceptibles d’affecter votre entreprise, d’évaluer la conformité aux exigences générales imposées par ces réglementations et de planifier la correction des lacunes identifiées. Passez en revue les instructions actuelles relatives aux réglementations qui s’appliquent à votre organisation. |
Utilisez l’Explorateur de contenu dans Microsoft Purview pour identifier les données soumises à des exigences réglementaires et évaluer son risque et son exposition. Définissez des classifieurs personnalisés pour adapter cette fonctionnalité aux besoins de votre entreprise. Évaluez les exigences en matière de protection des informations, telles que la rétention des données et les stratégies de gestion des enregistrements, puis implémentez des stratégies de protection des informations et de gouvernance des données de base à l’aide d’étiquettes de rétention et de confidentialité. Implémentez des stratégies DLP de base pour contrôler le flux d’informations réglementées. Implémentez des stratégies de conformité des communications si elles sont requises par les réglementations. |
Étendez les stratégies de gestion du cycle de vie des données avec l’automatisation. Configurez les contrôles de partitionnement et d’isolation à l’aide d’étiquettes de confidentialité, de DLP ou d’obstacles à l’information si nécessaire par la réglementation. Développez les stratégies de protection des informations en implémentant l’étiquetage de conteneur, l’étiquetage automatique et obligatoire et les stratégies DLP plus strictes. Développez ensuite ces stratégies sur des données locales, des appareils (points de terminaison) et des services cloud tiers à l’aide d’autres fonctionnalités dans Microsoft Purview. Réévaluez la conformité à l’aide du Gestionnaire de conformité et identifiez et corrigez les lacunes restantes. |
Utilisez Microsoft Sentinel pour générer des rapports basés sur le journal d’audit unifié pour évaluer et inventorier en continu l’état de conformité de vos informations. Continuez à utiliser le Gestionnaire de conformité en continu pour identifier et corriger les lacunes restantes et répondre aux exigences des réglementations nouvelles ou mises à jour. |
Si cette approche intermédiaire fonctionne pour votre organisation, vous pouvez utiliser :
Ce diaporama PowerPoint téléchargeable pour présenter et suivre votre progression à travers ces étapes et objectifs pour les dirigeants d’entreprise et d’autres parties prenantes. Voici la diapositive de ce scénario métier.
Ce classeur Excel sert à désigner des responsables et à suivre votre progression pour ces étapes, objectifs et leurs tâches. Voici la feuille de calcul pour ce scénario métier.
Équipe des parties prenantes
Votre équipe de parties prenantes pour ce scénario d’entreprise comprend des leaders au sein de votre organisation qui sont investis dans votre posture de sécurité et qui sont susceptibles d’inclure les rôles suivants :
| Responsables du programme et propriétaires techniques | Responsabilité |
|---|---|
| Commanditaire | Stratégie, direction, escalade, approche, alignement de l’entreprise et gestion de la coordination. |
| Chef de projet | Gestion globale de l’engagement, des ressources, de la chronologie et de la planification, des communications et d’autres. |
| CISO | Protection et gouvernance des ressources et systèmes de données, tels que la détermination des risques et la détermination des stratégies et le suivi et la création de rapports. |
| Gestionnaire de conformité informatique | Détermination des contrôles requis pour répondre aux exigences de conformité et de protection. |
| Responsable de la sécurité et de l'utilisabilité des utilisateurs finaux (EUC) | Représentation de vos employés. |
| Rôles d’investigation et d’audit | Enquête et création de rapports en coopération avec les responsables de la conformité et de la protection. |
| Gestionnaire de protection des informations | Classification des données et identification des données sensibles, contrôles et correction. |
| Chef d’architecture | Exigences techniques, architecture, révisions, décisions et hiérarchisation. |
| Administrateurs Microsoft 365 | Locataire et environnement, préparation, configuration, test. |
Le diaporama PowerPoint de ressources pour ce contenu d’adoption inclut la diapositive suivante avec une vue des parties prenantes que vous pouvez personnaliser pour votre propre organisation.
Plans techniques et préparation des compétences
Microsoft fournit des ressources pour vous aider à répondre aux exigences réglementaires et de conformité. Les sections suivantes mettent en évidence les ressources pour des objectifs spécifiques dans les quatre étapes précédemment définies.
Étape 1
À l’étape 1, vous identifiez les réglementations qui s’appliquent à votre organisation et commencez à utiliser le Gestionnaire de conformité. Vous passez également en revue les réglementations qui s’appliquent à votre organisation.
| Objectifs de l’étape 1 | Ressources |
|---|---|
| Identifiez les exigences de conformité à l’aide de la pyramide de gouvernance. | Évaluations du Gestionnaire de conformité |
| Utilisez le Gestionnaire de conformité pour évaluer la conformité et planifier la correction des lacunes identifiées. | Visitez le portail Microsoft Purview et passez en revue toutes les actions d’amélioration gérées par le client pertinentes pour votre organisation. |
| Passez en revue les instructions actuelles relatives aux réglementations qui s’appliquent à votre organisation. | Consultez le tableau suivant. |
Ce tableau répertorie les réglementations ou normes courantes.
| Réglementation ou norme | Ressources |
|---|---|
| National Institute of Standards and Technology (NIST) | Configurer Microsoft Entra ID pour répondre aux niveaux d’assurance de l’authentificateur NIST |
| Programme fédéral de gestion des risques et des autorisations (FedRAMP) | Configurer Microsoft Entra ID pour se conformer au niveau d'impact élevé de FedRAMP |
| Certification du modèle de maturité de cybersécurité (CMMC) | Configurer Microsoft Entra ID pour la conformité CMMC |
| Ordre exécutif sur l’amélioration de la cybersécurité de la nation (EO 14028) | Respectez les exigences d’identité du mémorandum 22-09 avec Microsoft Entra ID |
| HIPAA (Health Insurance Portability and Accountability Act) de 1996 | Configuration de l’ID Microsoft Entra pour la conformité HIPAA |
| Conseil des normes de sécurité de l’industrie des cartes de paiement (PCI SSC) | Aide relative à Microsoft Entra et à la norme PCI-DSS |
| Réglementations sur les services financiers |
Principales considérations en matière de conformité et de sécurité pour les marchés bancaires et des capitaux américains
|
| North America Electric Reliability Corporation (NERC) | Principales considérations relatives à la conformité et à la sécurité pour l’industrie de l’énergie |
Étape 2
À l’étape 2, vous commencez à implémenter des contrôles pour les données qui ne sont pas déjà en place. Pour plus d’informations sur la planification et le déploiement des contrôles de protection des informations, consultez le guide d’adoption Identifier et protéger les données métier sensibles confiance zéro.
| Objectifs de l’étape 2 | Ressources |
|---|---|
| Utilisez l’Explorateur de contenu pour identifier les données réglementées. |
Prise en main de l’explorateur de contenu L’Explorateur de contenu peut vous aider à examiner l’exposition actuelle des données réglementées et à évaluer sa conformité aux réglementations dictant leur emplacement de stockage et leur mode de protection. Créer un type d'informations sensibles personnalisées |
| Implémentez des stratégies de gouvernance des données et de protection des informations de base à l’aide d’étiquettes de rétention et de confidentialité. |
En savoir plus sur les stratégies de rétention et les étiquettes à conserver ou à supprimer En savoir plus sur les étiquettes de confidentialité |
| Vérifiez vos stratégies de chiffrement et DLP. |
Protection contre la perte de données Purview Chiffrement avec étiquetage de confidentialité Chiffrement pour Office 365 |
| Implémenter des stratégies de communication (le cas échéant). | Créer et gérer des stratégies de conformité des communications |
Étape 3
À l’étape 3, vous commencez à automatiser vos stratégies de gouvernance des données pour la rétention et la suppression, y compris l’utilisation d’étendues adaptatives.
Cette étape inclut l’implémentation de contrôles pour la séparation et l’isolement. Le NIST, par exemple, prescrit l’hébergement de projets dans un environnement isolé si ces projets concernent des types spécifiques de travaux classifiés pour et avec le gouvernement des États-Unis. Dans certains scénarios, la réglementation des services financiers exige que les environnements de partitionnement empêchent les employés de différentes parties de l’entreprise de communiquer entre eux.
| Objectifs de l’étape 3 | Ressources |
|---|---|
| Étendez les stratégies de gestion du cycle de vie des données avec l’automatisation. | gestion du cycle de vie des données |
| Configurez les contrôles de partitionnement et d’isolation (le cas échéant). |
Obstacles aux informations Prévention contre la perte de données Accès interlocataire |
| Développez des stratégies de protection des informations vers d’autres charges de travail. |
En savoir plus sur le scanneur de protection des informations Utiliser des stratégies de protection contre la perte de données pour les applications cloud non-Microsoft Protection contre la perte de données et Microsoft Teams Utilisation des points de terminaison protection contre la perte de données Utiliser des étiquettes de confidentialité pour protéger le contenu dans les groupes Microsoft Teams, Microsoft 365 et les sites SharePoint |
| Réévaluez la conformité à l’aide du Gestionnaire de conformité. | Gestionnaire de conformité |
Étape 4
Les objectifs de la phase 4 concernent l’opérationnalisation de ce scénario en passant à un mouvement continu d’évaluation de la conformité de vos ressources à vos réglementations et normes applicables.
| Objectifs de l’étape 4 | Ressources |
|---|---|
| Évaluez et stockez en continu l’état de conformité des ressources. | Cet article a identifié tous les outils requis et pour cet objectif, vous créez un processus itératif reproductible qui permet une surveillance continue des ressources et des ressources au sein du patrimoine numérique. Rechercher dans le journal d’audit dans le portail de conformité Microsoft Purview |
| Utilisez Microsoft Sentinel pour générer des rapports pour mesurer la conformité. | Utilisez Microsoft Sentinel pour générer des rapports basés sur le journal d’audit unifié pour évaluer et mesurer la conformité et démontrer l’efficacité des contrôles. Log Analytics dans Azure |
| Utilisez le Gestionnaire de conformité pour identifier et corriger les nouvelles lacunes. | Gestionnaire de conformité |
Phase prête
La plupart des travaux de conformité se produisent par le biais de l’application de la stratégie. Vous déterminez quelles conditions doivent être remplies pour atteindre la conformité, puis créer une stratégie ou un ensemble de stratégies pour automatiser un ensemble de contrôles. L’application de la stratégie avec confiance zéro crée une vérification reproductible pour des contrôles de conformité spécifiques implémentés. En créant des contrôles dans la technologie opérationnelle avec laquelle l’organisation interagit chaque jour, il devient une tâche plus simple pour atteindre la préparation de l’audit.
Pendant la phase Prêt , vous évaluez, testez et pilotez les stratégies que vous ciblez pour vous assurer que ces activités obtiennent les résultats prévus. Veillez à ne pas introduire de nouveaux risques. Pour ce scénario métier Confiance Zéro, il est important de travailler avec vos parties prenantes qui implémentent des contrôles d’accès, une protection des données et d’autres protections d’infrastructure. Par exemple, les recommandations d’évaluation, de test et de pilotage des stratégies pour activer le travail distant et hybride sont différentes des recommandations d’identification et de protection des données sensibles dans votre patrimoine numérique.
Exemples de contrôles
Chaque pilier de confiance zéro peut être mappé à des contrôles spécifiques au sein d’un cadre réglementaire ou de normes.
Exemple 1
Zero Trust for Identity est mappé à la gestion du contrôle d'accès au sein du benchmark CIS (Center for Internet Security) et à l'annexe A.9.2.2 - Provisionnement des accès utilisateur dans la norme ISO 27001:2022.
Dans ce diagramme, la gestion des contrôles d’accès est définie dans l’Annexe 9.2.2 de la norme ISO 27001, l’approvisionnement d’accès utilisateur. Les conditions requises pour cette section sont satisfaites en exigeant une authentification multifacteur.
L’exécution de chaque contrôle, comme l’application des stratégies d’accès conditionnel, est unique à chaque organisation. Le profil de risque de votre organisation, ainsi qu’un inventaire des ressources, doit créer une surface d’exposition et une étendue précises de l’implémentation.
Exemple 2
L’une des corrélations les plus évidentes entre l’architecture de confiance Zéro et les normes du secteur inclut la classification des informations. L’annexe 8.2.1 de ISO 27001 détermine que :
- Les informations doivent être classées en termes d’exigences légales, de valeur, de critique et de sensibilité à toute divulgation ou modification non autorisée, idéalement classées pour refléter l’activité commerciale plutôt que d’empêcher ou de compliquer celle-ci.
Dans ce diagramme, le service de classification des données Microsoft Purview est utilisé pour définir et appliquer des étiquettes de confidentialité aux e-mails, documents et données structurées.
Exemple 3
L’annexe 8.1.1 dans ISO 27001:2022 (Inventaire des ressources) exige que « toutes les ressources associées aux informations et aux installations de traitement des informations doivent être identifiées et gérées au cours du cycle de vie et sont toujours à jour ».
L’exécution de cette exigence de contrôle peut être obtenue par le biais de l’implémentation de la gestion des appareils Intune. Cette exigence fournit un compte clair de l’inventaire et signale l’état de conformité de chaque appareil par rapport aux stratégies définies de l’entreprise ou du secteur.
Pour cette exigence de contrôle, vous utilisez Microsoft Intune pour gérer les appareils, notamment la configuration de stratégies de conformité pour signaler la conformité des appareils sur les stratégies que vous définissez. Vous pouvez également utiliser des stratégies d’accès conditionnel pour exiger la conformité des appareils pendant le processus d’authentification et d’autorisation.
Exemple 4
L’exemple le plus complet d’un pilier de Confiance Zéro qui a été mappé aux normes du secteur serait le renseignement sur les menaces et la réponse aux incidents. L’ensemble des produits Microsoft Defender et Microsoft Sentinel s’appliquent dans ce scénario pour fournir une analyse approfondie et une exécution approfondies du renseignement sur les menaces et une réponse aux incidents en temps réel.
Dans ce diagramme, Microsoft Sentinel avec les outils Microsoft Defender fournit des informations sur les menaces.
Phase d’adoption
Dans la phase d’adoption, vous implémentez de façon incrémentielle vos plans techniques dans votre patrimoine numérique. Vous devez catégoriser les plans techniques par domaine et travailler avec les équipes correspondantes pour accomplir cette phase.
Pour l’accès aux identités et aux appareils, suivez une approche intermédiaire où vous commencez par un petit nombre d’utilisateurs et d’appareils, puis augmentez progressivement le déploiement pour inclure votre environnement complet. Ceci est décrit dans le scénario d’adoption du travail distant sécurisé et hybride . Voici un exemple.
L’adoption de la protection des données implique la cascade du travail et l’itération à mesure que vous allez pour vous assurer que les stratégies que vous créez sont correctement affinées pour votre environnement. Cette procédure est décrite dans le scénario d’identification et de protection des données métier sensibles . Voici un exemple.
Gouverner et gérer
La conformité aux exigences réglementaires et de conformité est un processus continu. Lorsque vous passez à cette phase, passez au suivi et à la surveillance. Microsoft fournit quelques outils pour vous aider.
Vous pouvez utiliser l’Explorateur de contenu pour surveiller l’état de la conformité organisationnelle. Pour la classification des données, l’Explorateur de contenu fournit une vue du paysage et de la diffusion d’informations sensibles au sein de votre organisation. Des classifieurs pouvant être formés à différents types de données sensibles, via des étendues adaptatives ou des étiquettes de confidentialité créées manuellement, vos administrateurs peuvent voir si le schéma de confidentialité prescrit est appliqué correctement dans l’ensemble de l’organisation. Il s’agit également d’une opportunité d’identifier des zones de risque spécifiques où des informations sensibles sont partagées de manière cohérente dans Exchange, SharePoint et OneDrive. Voici un exemple.
En utilisant la fonctionnalité de création de rapports supérieure dans le portail Microsoft Purview, vous pouvez créer et quantifier une vue macro de conformité. Voici un exemple.
La même pensée et le même processus peuvent être appliqués à Azure. Utilisez Defender pour Cloud-Regulatory Conformité pour déterminer un score de conformité similaire au même score fourni dans le Gestionnaire de conformité Purview. Le score est aligné sur plusieurs normes et infrastructures réglementaires dans différents secteurs verticaux. Il appartient à votre organisation de comprendre quelles normes et infrastructures réglementaires s’appliquent au score. L’état fourni par ce tableau de bord affiche une évaluation constante en temps réel des évaluations réussies contre échouées pour chaque norme. Voici un exemple.
Les tableaux de bord Purview fournissent une évaluation étendue qui peut aider à informer vos dirigeants d’entreprise et à être utilisés dans les rapports ministériels, tels qu’un examen trimestriel. Sur une note plus opérationnelle, vous pouvez tirer parti de Microsoft Sentinel en créant un espace de travail Log Analytics pour les données de journal d’audit unifiées. Cet espace de travail peut être connecté à vos données Microsoft 365 et fournir des insights sur l’activité des utilisateurs. Voici un exemple.
Ces données sont personnalisables et peuvent être utilisées conjointement avec les autres tableaux de bord pour contextualiser les exigences réglementaires spécifiquement alignées sur la stratégie, le profil de risque, les objectifs et les objectifs de votre organisation.
Étapes suivantes
- Vue d’ensemble du framework d’adoption de confiance zéro
- Moderniser rapidement votre posture de sécurité
- Sécuriser le travail distant et hybride
- Identifier et protéger les données métier sensibles
- Prévenir ou réduire les préjudices commerciaux causés par une violation
Ressources de suivi de la progression
Pour l’un des scénarios métier Confiance Zéro, vous pouvez utiliser les ressources de suivi de progression suivantes.
| Ressource de suivi de la progression | Cela vous aide... | Conçu pour... |
|---|---|---|
Grille de plan de scénario d’adoption téléchargeable fichier Visio ou PDF 
|
Comprenez facilement les améliorations de sécurité pour chaque scénario métier et le niveau d’effort pour les phases et les objectifs de la phase de plan. | Responsables de projet de scénario commercial, dirigeants d’entreprise et autres parties prenantes. |
Jeu de diapositives PowerPoint téléchargeables pour le suivi de l'adoption du modèle Zero Trust. 
|
Suivez votre progression par les étapes et les objectifs de la phase de plan. | Responsables de projet de scénario commercial, dirigeants d’entreprise et autres parties prenantes. |
Objectifs et tâches du scénario métier classeur Excel téléchargeable 
|
Attribuez la propriété et suivez votre progression à travers les phases, les objectifs et les tâches de la phase de plan. | Chefs de projet de scénarios métiers, chefs informatiques et implémenteurs informatiques. |
Pour obtenir des ressources supplémentaires, consultez l’évaluation de confiance zéro et les ressources de suivi de progression.