Décrire le gestionnaire de conformité
Le Gestionnaire de conformité Microsoft Purview est une fonctionnalité du portail de conformité Microsoft Purview qui permet aux administrateurs de gérer les exigences de conformité d’une organisation de façon plus facile et plus pratique. Le gestionnaire de conformité peut aider les organisations tout au long de leur parcours de conformité, de l’inventaire des risques liés à la protection des données, à la gestion des complexités de l’implémentation des contrôles, à la mise à jour des réglementations et des certifications, et à la création de rapports aux auditeurs.
Le gestionnaire de conformité permet de simplifier la conformité et de réduire les risques en fournissant :
- Les évaluations prédéfinies basées sur des normes et des réglementations régionales et sectorielles courantes. Les administrateurs peuvent également utiliser l’évaluation personnalisée pour répondre aux besoins de conformité propres à l’organisation.
- Les fonctionnalités de flux de travail qui permettent aux administrateurs d’effectuer efficacement les évaluations des risques pour l’organisation.
- Les actions d’amélioration pas à pas que les administrateurs peuvent entreprendre pour respecter les réglementations et les normes relatives à l’organisation. Certaines actions sont également gérées pour l’organisation par Microsoft. Les administrateurs obtiendront des détails d’implémentation et des résultats d’audit pour ces actions.
- Le score de conformité est un calcul qui permet à une organisation de comprendre son état de conformité global en mesurant la progression des actions d’amélioration.
Le tableau de bord du gestionnaire de conformité affiche le score de conformité actuel, aide les administrateurs à voir ce qui nécessite une attention et les guide vers des actions d’amélioration clés.
Le gestionnaire de conformité utilise plusieurs éléments de données pour faciliter la gestion des activités de conformité. Comme les administrateurs utilisent le gestionnaire de conformité pour affecter, tester et surveiller les activités de conformité, il est utile d’avoir une compréhension de base des éléments clés : contrôles, évaluations, modèles et actions d’amélioration.
Commandes
Une commande est une exigence d’une règle, d’une norme ou d’une stratégie. Elle définit comment évaluer et gérer la configuration du système, le processus organisationnel et les personnes responsables de la satisfaction d’une exigence spécifique d’une règle, d’une norme ou d’une stratégie.
Le gestionnaire de conformité effectue le suivi des types de commandes suivants :
- Commandes gérées par Microsoft : commandes des services cloud Microsoft dont Microsoft est responsable.
- Vos commandes : parfois appelées commandes gérées par le client, celles-ci sont implémentées et gérées par l’organisation.
- Commandes partagées : la responsabilité de l’implémentation de ces commandes est partagée par l’organisation et Microsoft.
Le Gestionnaire de conformité évalue en permanence les contrôles en analysant votre environnement Microsoft 365 et les paramètres de votre système, et en mettant continuellement et automatiquement à jour l'état de votre action technique.
Évaluations
Une évaluation est un regroupement de commandes d’une règle, d’une norme ou d’une stratégie spécifique. L’exécution des actions au sein d’une évaluation permet de répondre aux exigences d’une norme, d’une règle ou d’une loi. Par exemple, une organisation peut avoir une évaluation qui, une fois suivie, permet d’aligner les paramètres Microsoft 365 de l’organisation avec les critères ISO 27001.
Une évaluation comporte plusieurs composants, notamment les services qui entrent dans le cadre, les contrôles managés Microsoft, vos contrôles, les contrôles partagés, ainsi qu’un score d’évaluation qui montre la progression de la réalisation des actions nécessaires à la conformité.
Modèles
Le gestionnaire de conformité fournit des modèles pour aider les administrateurs à créer rapidement des évaluations. Ils peuvent modifier ces modèles pour créer une évaluation optimisée en fonction de leurs besoins. Les administrateurs peuvent également créer une évaluation personnalisée en créant un modèle avec leurs propres commandes et actions. Par exemple, l’administrateur peut souhaiter qu’un modèle couvre une commande de processus d’entreprise interne ou une norme de protection des données régionale qui n’est pas couverte par l’un des 150 modèles d’évaluation prédéfinis de Microsoft.
Actions d’amélioration
Les actions d’amélioration permettent de centraliser les activités de conformité. Chaque action d’amélioration fournit des recommandations, destinées à aider les organisations à s’aligner sur les normes et les réglementations en matière de protection des données. Les actions d’amélioration peuvent être attribuées aux utilisateurs de l’organisation pour effectuer des tâches d’implémentation et de test. Les administrateurs peuvent également stocker la documentation, les notes et enregistrer les mises à jour d’état au cours de l’action d’amélioration.
Avantages du gestionnaire de conformité
Le gestionnaire de conformité offre de nombreux avantages, notamment :
- Traduction des réglementations, des normes, des stratégies d’entreprise ou d’autres infrastructures de contrôle complexes en langage simple.
- Accès à une grande variété d’évaluations prêtes à l’emploi et d’évaluations personnalisées pour aider les entreprises à répondre à leurs besoins uniques en matière de conformité.
- Mappage des contrôles de réglementation par rapport aux actions d’amélioration recommandées.
- Instructions pas à pas sur l’implémentation de solutions pour répondre aux exigences réglementaires.
- Aide aux administrateurs et aux utilisateurs à hiérarchiser les actions qui auront l’impact le plus élevé sur la conformité de leur organisation en associant un score à chaque action.
En somme, le Gestionnaire de conformité aide les organisations à mesurer les progrès des actions entreprises pour permettre de réduire les risques liés à la protection des données et aux normes réglementaires.