Partager via


Détails de l’initiative intégrée de conformité réglementaire du système et des contrôles organisationnels (SOC) 2

L’article suivant explique comment la définition de l’initiative intégrée Azure Policy Regulatory Compliance correspond aux domaines et aux contrôles de conformité de System and Organization Controls (SOC) 2. Pour plus d’informations sur cette norme de conformité, consultez les centres des opérations de sécurité (SOC) 2. Pour comprendre la Propriété, consultez le type de stratégie et la responsabilité partagée dans le cloud.

Les mappages suivants sont des contrôles soc (System and Organization Controls) 2. De nombreux contrôles sont mis en œuvre avec la définition d’une initiative Azure Policy. Pour examiner la définition d’initiative complète, ouvrez Stratégie dans le Portail Azure et sélectionnez la page Définitions. Ensuite, recherchez et sélectionnez la définition de l’initiative intégrée de conformité réglementaire SOC 2 Type 2.

Important

Chaque contrôle ci-dessous est associé à une ou plusieurs définitions Azure Policy. Ces stratégies peuvent vous aider à évaluer la conformité avec le contrôle ; toutefois, il n’existe pas souvent de correspondance un-à-un ou parfaite entre un contrôle et une ou plusieurs stratégies. Ainsi, la conformité dans Azure Policy fait uniquement référence aux définitions de stratégie elles-mêmes ; cela ne garantit pas que vous êtes entièrement conforme à toutes les exigences d’un contrôle. En outre, la norme de conformité comprend des contrôles qui ne sont traités par aucune définition Azure Policy pour l’instant. Par conséquent, la conformité dans Azure Policy n’est qu’une vue partielle de l’état de conformité global. Les associations entre les domaines de conformité, les contrôles et les définitions Azure Policy pour cette norme de conformité peuvent changer au fil du temps. Pour afficher l’historique des changements, consultez l’historique des validations GitHub.

Critères supplémentaires pour la disponibilité

Gestion de la capacité

ID : SOC 2 Type 2 A1.1 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Effectuer la planification des capacités CMA_C1252 - Effectuer la planification des capacités Manuel, désactivé 1.1.0

Protections environnementales, logiciels, processus de sauvegarde des données et infrastructure de récupération

ID : SOC 2 Type 2 A1.2 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
La sauvegarde Azure doit être activée pour les machines virtuelles Assurez la protection de vos machines virtuelles Azure en activant la sauvegarde Azure. La Sauvegarde Azure est une solution de protection des données sécurisée et économique pour Azure. AuditIfNotExists, Désactivé 3.0.0
Utiliser un éclairage d’urgence automatique CMA_0209 - Utiliser un éclairage d’urgence automatique Manuel, désactivé 1.1.0
Établir un site de traitement alternatif CMA_0262 - Établir un site de traitement alternatif Manuel, désactivé 1.1.0
La sauvegarde géoredondante doit être activée pour Azure Database for MariaDB Azure Database for MariaDB vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région jumelée pour offrir une possibilité de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création du serveur. Audit, Désactivé 1.0.1
La sauvegarde géoredondante doit être activée pour Azure Database pour MySQL Azure Database pour MySQL vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région jumelée pour offrir une possibilité de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création du serveur. Audit, Désactivé 1.0.1
La sauvegarde géoredondante doit être activée pour Azure Database pour PostgreSQL Azure Database pour PostgreSQL vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région jumelée pour offrir une possibilité de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création du serveur. Audit, Désactivé 1.0.1
Implémenter une méthodologie de test de pénétration CMA_0306 – Implémenter une méthodologie de test de pénétration Manuel, désactivé 1.1.0
Implémenter la sécurité physique pour les bureaux, les zones de travail et les zones sécurisées CMA_0323 - Implémenter la sécurité physique pour les bureaux, les zones de travail et les zones sécurisées Manuel, désactivé 1.1.0
Installer un système d’alarme CMA_0338 - Installer un système d’alarme Manuel, désactivé 1.1.0
Récupérer et reconstruire des ressources après toute interruption CMA_C1295 - Récupérer et reconstruire des ressources après toute interruption Manuel, désactivé 1.1.1
Exécuter des attaques de simulation CMA_0486 – Exécuter des attaques de simulation Manuel, désactivé 1.1.0
Stocker séparément les informations de sauvegarde CMA_C1293 - Stocker séparément les informations de sauvegarde Manuel, désactivé 1.1.0
Transférer les informations de sauvegarde vers un autre site de stockage CMA_C1294 - Transférer les informations de sauvegarde vers un autre site de stockage Manuel, désactivé 1.1.0

Test du plan de récupération

ID : SOC 2 Type 2 A1.3 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Coordonner les plans d’urgence avec les plans associés CMA_0086 - Coordonner les plans d’urgence avec les plans associés Manuel, désactivé 1.1.0
Lancer des actions correctives du test du plan d’urgence CMA_C1263 - Lancer des actions correctives du test du plan d’urgence Manuel, désactivé 1.1.0
Passer en revue les résultats des tests du plan d’urgence CMA_C1262 - Passer en revue les résultats des tests du plan d’urgence Manuel, désactivé 1.1.0
Tester le plan de continuité d’activité et de reprise d’activité CMA_0509 - Tester le plan de continuité d’activité et de reprise d’activité Manuel, désactivé 1.1.0

Critères supplémentaires de confidentialité

Protection des informations confidentielles

ID : SOC 2 Type 2 C1.1 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Contrôler l’accès physique CMA_0081 – Contrôler l’accès physique Manuel, désactivé 1.1.0
Gérer l’entrée, la sortie, le traitement et le stockage des données CMA_0369 – Gérer l’entrée, la sortie, le traitement et le stockage des données Manuel, désactivé 1.1.0
Examiner l’activité et l’analytique de l’étiquette CMA_0474 – Examiner l’activité et l’analytique de l’étiquette Manuel, désactivé 1.1.0

Suppression des informations confidentielles

ID : SOC 2 Type 2 C1.2 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Contrôler l’accès physique CMA_0081 – Contrôler l’accès physique Manuel, désactivé 1.1.0
Gérer l’entrée, la sortie, le traitement et le stockage des données CMA_0369 – Gérer l’entrée, la sortie, le traitement et le stockage des données Manuel, désactivé 1.1.0
Examiner l’activité et l’analytique de l’étiquette CMA_0474 – Examiner l’activité et l’analytique de l’étiquette Manuel, désactivé 1.1.0

Environnement de contrôle

Principe 1 de COSO

ID : SOC 2 Type 2 CC1.1 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Développer des stratégies et des procédures d’utilisation acceptables CMA_0143 - Développer des stratégies et des procédures d’utilisation acceptables Manuel, désactivé 1.1.0
Développer une stratégie de code de conduite de l’organisation CMA_0159 - Développer une stratégie de code de conduite de l’organisation Manuel, désactivé 1.1.0
Documenter l’acceptation des exigences de confidentialité par le personnel CMA_0193 - Documenter l’acceptation des exigences de confidentialité par le personnel Manuel, désactivé 1.1.0
Appliquer des règles de comportement et des contrats d’accès CMA_0248 - Appliquer des règles de comportement et des contrats d’accès Manuel, désactivé 1.1.0
Interdire les pratiques déloyales CMA_0396 - Interdire les pratiques déloyales Manuel, désactivé 1.1.0
Passer en revue et signer les règles de comportement révisées CMA_0465 - Passer en revue et signer les règles de comportement révisées Manuel, désactivé 1.1.0
Mettre à jour les règles de comportement et les contrats d’accès CMA_0521 - Mettre à jour les règles de comportement et les contrats d’accès Manuel, désactivé 1.1.0
Mettre à jour les règles de comportement et les contrats d’accès tous les 3 ans CMA_0522 - Mettre à jour les règles de comportement et les contrats d’accès tous les 3 ans Manuel, désactivé 1.1.0

Principe 2 de COSO

ID : SOC 2 Type 2 CC1.2 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Nommer un responsable senior de la sécurité des informations CMA_C1733 - Nommer un responsable senior de la sécurité des informations Manuel, désactivé 1.1.0
Développer et établir un plan de sécurité des systèmes CMA_0151 - Développer et établir un plan de sécurité des systèmes Manuel, désactivé 1.1.0
Établir une stratégie de gestion des risques CMA_0258 - Établir une stratégie de gestion des risques Manuel, désactivé 1.1.0
Établir les exigences de sécurité pour la fabrication d’appareils connectés CMA_0279 - Établir les exigences de sécurité pour la fabrication d’appareils connectés Manuel, désactivé 1.1.0
Implémenter les principes d’ingénierie de la sécurité des systèmes d’information CMA_0325 - Implémenter les principes d’ingénierie de la sécurité des systèmes d’information Manuel, désactivé 1.1.0

Principe 3 de COSO

ID : SOC 2 Type 2 CC1.3 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Nommer un responsable senior de la sécurité des informations CMA_C1733 - Nommer un responsable senior de la sécurité des informations Manuel, désactivé 1.1.0
Développer et établir un plan de sécurité des systèmes CMA_0151 - Développer et établir un plan de sécurité des systèmes Manuel, désactivé 1.1.0
Établir une stratégie de gestion des risques CMA_0258 - Établir une stratégie de gestion des risques Manuel, désactivé 1.1.0
Établir les exigences de sécurité pour la fabrication d’appareils connectés CMA_0279 - Établir les exigences de sécurité pour la fabrication d’appareils connectés Manuel, désactivé 1.1.0
Implémenter les principes d’ingénierie de la sécurité des systèmes d’information CMA_0325 - Implémenter les principes d’ingénierie de la sécurité des systèmes d’information Manuel, désactivé 1.1.0

Principe 4 de COSO

ID : SOC 2 Type 2 CC1.4 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Fournir une formation périodique sur la sécurité basée sur les rôles CMA_C1095 - Fournir une formation périodique sur la sécurité basée sur les rôles Manuel, désactivé 1.1.0
Fournir une formation périodique sur la sensibilisation à la sécurité CMA_C1091 - Fournir une formation périodique sur la sensibilisation à la sécurité Manuel, désactivé 1.1.0
Fournir des exercices pratiques basés sur des rôles CMA_C1096 – Fournir des exercices pratiques basés sur des rôles Manuel, désactivé 1.1.0
Fournir une formation sur la sécurité avant de fournir l’accès CMA_0418 - Fournir une formation sur la sécurité avant de fournir l’accès Manuel, désactivé 1.1.0
Fournir une formation sur la sécurité pour les nouveaux utilisateurs CMA_0419 - Fournir une formation sur la sécurité pour les nouveaux utilisateurs Manuel, désactivé 1.1.0

Principe COSO 5

ID : SOC 2 Type 2 CC1.5 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Développer des stratégies et des procédures d’utilisation acceptables CMA_0143 - Développer des stratégies et des procédures d’utilisation acceptables Manuel, désactivé 1.1.0
Appliquer des règles de comportement et des contrats d’accès CMA_0248 - Appliquer des règles de comportement et des contrats d’accès Manuel, désactivé 1.1.0
Implémenter un processus formel de sanctions CMA_0317 - Implémenter un processus formel de sanctions Manuel, désactivé 1.1.0
Notifier le personnel en cas de sanctions CMA_0380 - Notifier le personnel en cas de sanctions Manuel, désactivé 1.1.0

Communication et informations

Principe 13 de COSO

ID : SOC 2 Type 2 CC2.1 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Contrôler l’accès physique CMA_0081 – Contrôler l’accès physique Manuel, désactivé 1.1.0
Gérer l’entrée, la sortie, le traitement et le stockage des données CMA_0369 – Gérer l’entrée, la sortie, le traitement et le stockage des données Manuel, désactivé 1.1.0
Examiner l’activité et l’analytique de l’étiquette CMA_0474 – Examiner l’activité et l’analytique de l’étiquette Manuel, désactivé 1.1.0

Principe 14 de COSO

ID : SOC 2 Type 2 CC2.2 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Développer des stratégies et des procédures d’utilisation acceptables CMA_0143 - Développer des stratégies et des procédures d’utilisation acceptables Manuel, désactivé 1.1.0
La notification par e-mail pour les alertes à gravité élevée doit être activée Pour informer les personnes concernées de votre organisation d’une violation de sécurité potentielle dans l’un de vos abonnements, activez les notifications par e-mail pour les alertes à gravité élevée dans Security Center. AuditIfNotExists, Désactivé 1.2.0
La notification par e-mail au propriétaire de l’abonnement pour les alertes à gravité élevée doit être activée Pour informer les propriétaires d’abonnement d’une violation de sécurité potentielle dans leur abonnement, activez l’envoi de notifications par e-mail à ces propriétaires pour les alertes à gravité élevée dans Security Center. AuditIfNotExists, Désactivé 2.1.0
Appliquer des règles de comportement et des contrats d’accès CMA_0248 - Appliquer des règles de comportement et des contrats d’accès Manuel, désactivé 1.1.0
Fournir une formation périodique sur la sécurité basée sur les rôles CMA_C1095 - Fournir une formation périodique sur la sécurité basée sur les rôles Manuel, désactivé 1.1.0
Fournir une formation périodique sur la sensibilisation à la sécurité CMA_C1091 - Fournir une formation périodique sur la sensibilisation à la sécurité Manuel, désactivé 1.1.0
Fournir une formation sur la sécurité avant de fournir l’accès CMA_0418 - Fournir une formation sur la sécurité avant de fournir l’accès Manuel, désactivé 1.1.0
Fournir une formation sur la sécurité pour les nouveaux utilisateurs CMA_0419 - Fournir une formation sur la sécurité pour les nouveaux utilisateurs Manuel, désactivé 1.1.0
Les abonnements doivent avoir l’adresse e-mail d’un contact pour le signalement des problèmes de sécurité Pour informer les personnes concernées de votre organisation d’une violation de sécurité potentielle dans l’un de vos abonnements, définissez un contact de sécurité qui recevra des notifications par e-mail dans Security Center. AuditIfNotExists, Désactivé 1.0.1

Principe 15 de COSO

ID : SOC 2 Type 2 CC2.3 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Définir les tâches des processeurs CMA_0127 - Définir les tâches des processeurs Manuel, désactivé 1.1.0
Fournir les résultats de l’évaluation de la sécurité CMA_C1147 - Fournir les résultats de l’évaluation de la sécurité Manuel, désactivé 1.1.0
Développer et établir un plan de sécurité des systèmes CMA_0151 - Développer et établir un plan de sécurité des systèmes Manuel, désactivé 1.1.0
La notification par e-mail pour les alertes à gravité élevée doit être activée Pour informer les personnes concernées de votre organisation d’une violation de sécurité potentielle dans l’un de vos abonnements, activez les notifications par e-mail pour les alertes à gravité élevée dans Security Center. AuditIfNotExists, Désactivé 1.2.0
La notification par e-mail au propriétaire de l’abonnement pour les alertes à gravité élevée doit être activée Pour informer les propriétaires d’abonnement d’une violation de sécurité potentielle dans leur abonnement, activez l’envoi de notifications par e-mail à ces propriétaires pour les alertes à gravité élevée dans Security Center. AuditIfNotExists, Désactivé 2.1.0
Établir les exigences de sécurité pour la fabrication d’appareils connectés CMA_0279 - Établir les exigences de sécurité pour la fabrication d’appareils connectés Manuel, désactivé 1.1.0
Établir les exigences de sécurité pour le personnel de tiers CMA_C1529 - Établir les exigences de sécurité pour le personnel de tiers Manuel, désactivé 1.1.0
Implémenter des méthodes de remise de déclaration de confidentialité CMA_0324 - Implémenter des méthodes de remise de déclaration de confidentialité Manuel, désactivé 1.1.0
Implémenter les principes d’ingénierie de la sécurité des systèmes d’information CMA_0325 - Implémenter les principes d’ingénierie de la sécurité des systèmes d’information Manuel, désactivé 1.1.0
Produire un rapport d’évaluation de la sécurité CMA_C1146 - Produire un rapport d’évaluation de la sécurité Manuel, désactivé 1.1.0
Fournir une déclaration de confidentialité CMA_0414 - Fournir une déclaration de confidentialité Manuel, désactivé 1.1.0
Exiger des fournisseurs tiers qu’ils se conforment aux stratégies et aux procédures de sécurité du personnel CMA_C1530 - Exiger des fournisseurs tiers qu’ils se conforment aux stratégies et aux procédures de sécurité du personnel Manuel, désactivé 1.1.0
Restreindre les communications CMA_0449 - Restreindre les communications Manuel, désactivé 1.1.0
Les abonnements doivent avoir l’adresse e-mail d’un contact pour le signalement des problèmes de sécurité Pour informer les personnes concernées de votre organisation d’une violation de sécurité potentielle dans l’un de vos abonnements, définissez un contact de sécurité qui recevra des notifications par e-mail dans Security Center. AuditIfNotExists, Désactivé 1.0.1

Évaluation des risques

Principe 6 de COSO

ID : SOC 2 Type 2 CC3.1 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Catégoriser les informations CMA_0052 - Catégoriser les informations Manuel, désactivé 1.1.0
Déterminer les besoins en matière de protection des informations CMA_C1750 - Déterminer les besoins en matière de protection des informations Manuel, désactivé 1.1.0
Développer des schémas de classification métier CMA_0155 - Développer des schémas de classification métier Manuel, désactivé 1.1.0
Développer un SSP qui répond aux critères CMA_C1492 - Développer un SSP qui répond aux critères Manuel, désactivé 1.1.0
Établir une stratégie de gestion des risques CMA_0258 - Établir une stratégie de gestion des risques Manuel, désactivé 1.1.0
Effectuer une évaluation des risques CMA_0388 - Effectuer une évaluation des risques Manuel, désactivé 1.1.0
Examiner l’activité et l’analytique de l’étiquette CMA_0474 – Examiner l’activité et l’analytique de l’étiquette Manuel, désactivé 1.1.0

Principe COSO 7

ID : SOC 2 Type 2 CC3.2 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Une solution d’évaluation des vulnérabilités doit être activée sur vos machines virtuelles Audite les machines virtuelles pour détecter si elles exécutent une solution d’évaluation des vulnérabilités prise en charge. L’identification et l’analyse des vulnérabilités constituent un composant fondamental de chaque programme de sécurité et d’évaluation des cyber-risques. Le niveau tarifaire Standard d’Azure Security Center comprend l’analyse des vulnérabilités de vos machines virtuelles sans coût supplémentaire. De plus, Security Center peut déployer cet outil automatiquement pour vous. AuditIfNotExists, Désactivé 3.0.0
Catégoriser les informations CMA_0052 - Catégoriser les informations Manuel, désactivé 1.1.0
Déterminer les besoins en matière de protection des informations CMA_C1750 - Déterminer les besoins en matière de protection des informations Manuel, désactivé 1.1.0
Développer des schémas de classification métier CMA_0155 - Développer des schémas de classification métier Manuel, désactivé 1.1.0
Établir une stratégie de gestion des risques CMA_0258 - Établir une stratégie de gestion des risques Manuel, désactivé 1.1.0
Effectuer une évaluation des risques CMA_0388 - Effectuer une évaluation des risques Manuel, désactivé 1.1.0
Effectuer des analyses de vulnérabilité CMA_0393 – Effectuer des analyses de vulnérabilité Manuel, désactivé 1.1.0
Corriger les défauts du système d’information CMA_0427 – Corriger les défauts du système d’information Manuel, désactivé 1.1.0
Examiner l’activité et l’analytique de l’étiquette CMA_0474 – Examiner l’activité et l’analytique de l’étiquette Manuel, désactivé 1.1.0
L’évaluation des vulnérabilités doit être activée sur SQL Managed Instance Auditez chaque instance managée SQL qui n’a pas d’analyses récurrentes d’évaluation des vulnérabilités activées. L’évaluation des vulnérabilités peut découvrir et suivre les potentielles vulnérabilités de base de données, et vous aider à y remédier. AuditIfNotExists, Désactivé 1.0.1
L’évaluation des vulnérabilités doit être activée sur vos serveurs SQL Auditer les serveurs Azure SQL pour lesquels l’évaluation des vulnérabilités n’est pas correctement configurée. L’évaluation des vulnérabilités peut découvrir et suivre les potentielles vulnérabilités de base de données, et vous aider à y remédier. AuditIfNotExists, Désactivé 3.0.0

Principe COSO 8

ID : SOC 2 Type 2 CC3.3 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Effectuer une évaluation des risques CMA_0388 - Effectuer une évaluation des risques Manuel, désactivé 1.1.0

Principe 9 de COSO

ID : SOC 2 Type 2 CC3.4 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Évaluer les risques dans les relations avec les tiers CMA_0014 - Évaluer les risques dans les relations avec les tiers Manuel, désactivé 1.1.0
Définir les exigences pour la fourniture de biens et de services CMA_0126 - Définir les exigences pour la fourniture de biens et de services Manuel, désactivé 1.1.0
Déterminer les obligations des contrats fournisseur CMA_0140 - Déterminer les obligations des contrats fournisseur Manuel, désactivé 1.1.0
Établir une stratégie de gestion des risques CMA_0258 - Établir une stratégie de gestion des risques Manuel, désactivé 1.1.0
Établir des stratégies pour la gestion des risques liés à la chaîne d’approvisionnement CMA_0275 - Établir des stratégies pour la gestion des risques liés à la chaîne d’approvisionnement Manuel, désactivé 1.1.0
Effectuer une évaluation des risques CMA_0388 - Effectuer une évaluation des risques Manuel, désactivé 1.1.0

Activités d’analyse

Principe 16 de COSO

ID : SOC 2 Type 2 CC4.1 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Évaluer les contrôles de sécurité CMA_C1145 - Évaluer les contrôles de sécurité Manuel, désactivé 1.1.0
Développer un plan d’évaluation de la sécurité CMA_C1144 - Développer un plan d’évaluation de la sécurité Manuel, désactivé 1.1.0
Sélectionner des tests supplémentaires pour les évaluations des contrôles de sécurité CMA_C1149 - Sélectionner des tests supplémentaires pour les évaluations des contrôles de sécurité Manuel, désactivé 1.1.0

Principe 17 de COSO

ID : SOC 2 Type 2 CC4.2 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Fournir les résultats de l’évaluation de la sécurité CMA_C1147 - Fournir les résultats de l’évaluation de la sécurité Manuel, désactivé 1.1.0
Produire un rapport d’évaluation de la sécurité CMA_C1146 - Produire un rapport d’évaluation de la sécurité Manuel, désactivé 1.1.0

Activités de contrôle

Principe 10 de COSO

ID : SOC 2 Type 2 CC5.1 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Établir une stratégie de gestion des risques CMA_0258 - Établir une stratégie de gestion des risques Manuel, désactivé 1.1.0
Effectuer une évaluation des risques CMA_0388 - Effectuer une évaluation des risques Manuel, désactivé 1.1.0

Principe 11 de COSO

ID : SOC 2 Type 2 CC5.2 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
3 propriétaires maximum doivent être désignés pour votre abonnement Il est recommandé de désigner jusqu'à 3 propriétaires d'abonnement pour réduire le risque de violation par un propriétaire compromis. AuditIfNotExists, Désactivé 3.0.0
Les comptes bloqués disposant d’autorisations de propriétaire sur les ressources Azure doivent être supprimés Les comptes déconseillés disposant d’autorisations de type propriétaire doivent être supprimés de votre abonnement. Les comptes déconseillés sont des comptes qui ont été empêchés de se connecter. AuditIfNotExists, Désactivé 1.0.0
Concevoir un modèle de contrôle d’accès CMA_0129 – Concevoir un modèle de contrôle d’accès Manuel, désactivé 1.1.0
Déterminer les obligations des contrats fournisseur CMA_0140 - Déterminer les obligations des contrats fournisseur Manuel, désactivé 1.1.0
Documenter les critères d’acceptation des contrats d’acquisition CMA_0187 - Documenter les critères d’acceptation des contrats d’acquisition Manuel, désactivé 1.1.0
Documenter la protection des données personnelles dans les contrats d’acquisition CMA_0194 - Documenter la protection des données personnelles dans les contrats d’acquisition Manuel, désactivé 1.1.0
Documenter la protection des informations de sécurité dans les contrats d’acquisition CMA_0195 - Documenter la protection des informations de sécurité dans les contrats d’acquisition Manuel, désactivé 1.1.0
Documenter les exigences pour l’utilisation des données partagées dans les contrats CMA_0197 - Documenter les exigences pour l’utilisation des données partagées dans les contrats Manuel, désactivé 1.1.0
Documenter les exigences d’assurance de sécurité dans les contrats d’acquisition CMA_0199 - Documenter les exigences d’assurance de sécurité dans les contrats d’acquisition Manuel, désactivé 1.1.0
Documenter les exigences de documentation de sécurité dans les contrats d’acquisition CMA_0200 - Documenter les exigences de documentation de sécurité dans les contrats d’acquisition Manuel, désactivé 1.1.0
Documenter les exigences fonctionnelles de sécurité dans les contrats d’acquisition CMA_0201 - Documenter les exigences fonctionnelles de sécurité dans les contrats d’acquisition Manuel, désactivé 1.1.0
Documenter les exigences de niveau de sécurité dans les contrats d’acquisition CMA_0203 - Documenter les exigences de niveau de sécurité dans les contrats d’acquisition Manuel, désactivé 1.1.0
Documenter l’environnement du système d’information dans les contrats d’acquisition CMA_0205 - Documenter l’environnement du système d’information dans les contrats d’acquisition Manuel, désactivé 1.1.0
Documenter la protection des données des détenteurs de carte dans les contrats de tiers CMA_0207 - Documenter la protection des données des détenteurs de carte dans les contrats de tiers Manuel, désactivé 1.1.0
Utiliser l’accès aux privilèges minimum CMA_0212 – Utiliser l’accès aux privilèges minimum Manuel, désactivé 1.1.0
Les comptes invités disposant d’autorisations de propriétaire sur les ressources Azure doivent être supprimés Les comptes externes avec des autorisations de type propriétaire doivent être supprimés de votre abonnement pour empêcher un accès non contrôlé. AuditIfNotExists, Désactivé 1.0.0
Effectuer une évaluation des risques CMA_0388 - Effectuer une évaluation des risques Manuel, désactivé 1.1.0
Plusieurs propriétaires doivent être attribués à votre abonnement Il est recommandé de désigner plusieurs propriétaires d'abonnement pour disposer de la redondance de l'accès administrateur. AuditIfNotExists, Désactivé 3.0.0

Principe 12 de COSO

ID : SOC 2 Type 2 CC5.3 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Configurer la liste verte des détections CMA_0068 - Configurer la liste verte des détections Manuel, désactivé 1.1.0
Effectuer une évaluation des risques CMA_0388 - Effectuer une évaluation des risques Manuel, désactivé 1.1.0
Activer les capteurs pour la solution de sécurité de point de terminaison CMA_0514 – Activer les capteurs pour la solution de sécurité de point de terminaison Manuel, désactivé 1.1.0
Faire l’objet d’une révision de sécurité indépendante CMA_0515 - Faire l’objet d’une révision de sécurité indépendante Manuel, désactivé 1.1.0

Contrôles d’accès logiques et physiques

Architectures, infrastructure et logiciels de sécurité d’accès logique

ID : SOC 2 Type 2 CC6.1 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
3 propriétaires maximum doivent être désignés pour votre abonnement Il est recommandé de désigner jusqu'à 3 propriétaires d'abonnement pour réduire le risque de violation par un propriétaire compromis. AuditIfNotExists, Désactivé 3.0.0
Les comptes disposant d’autorisations de propriétaire sur les ressources Azure doivent être compatibles avec l’authentification multifacteur MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant d'autorisations de propriétaire afin d'éviter une violation des comptes ou des ressources. AuditIfNotExists, Désactivé 1.0.0
Les comptes disposant d’autorisations en lecture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en lecture afin d'éviter une violation des comptes ou des ressources. AuditIfNotExists, Désactivé 1.0.0
Les comptes disposant d’autorisations en écriture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en écriture pour éviter une violation des comptes ou des ressources. AuditIfNotExists, Désactivé 1.0.0
Adopter des mécanismes d’authentification biométrique CMA_0005 – Adopter des mécanismes d’authentification biométrique Manuel, désactivé 1.1.0
Tous les ports réseau doivent être restreints sur les groupes de sécurité réseau associés à votre machine virtuelle Azure Security Center a identifié qu’une partie des règles de trafic entrant de vos groupes de sécurité réseau est trop permissive. Les règles de trafic entrant ne doivent pas autoriser l’accès à partir des plages « Tout » ou « Internet ». Cela peut permettre aux attaquants de cibler vos ressources. AuditIfNotExists, Désactivé 3.0.0
Les applications App Service doivent être accessibles uniquement via HTTPS L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. Audit, Désactivé, Refus 4.0.0
Les applications App Service doivent exiger FTPS uniquement Activer la mise en œuvre de FTPS pour renforcer la sécurité. AuditIfNotExists, Désactivé 3.0.0
L’authentification auprès des machines Linux doit exiger des clés SSH Bien que le protocole SSH lui-même offre une connexion chiffrée, l’utilisation de mots de passe avec SSH laisse néanmoins la machine virtuelle vulnérable aux attaques en force brute. L’option la plus sûre pour l’authentification auprès d’une machine virtuelle Linux Azure via SSH est d’utiliser une paire de clés publique-privée, également appelées clés SSH. En savoir plus : https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. AuditIfNotExists, Désactivé 3.2.0
Autoriser l’accès aux fonctions et informations de sécurité CMA_0022 – Autoriser l’accès aux fonctions et informations de sécurité Manuel, désactivé 1.1.0
Autoriser et gérer l’accès CMA_0023 – Autoriser et gérer l’accès Manuel, désactivé 1.1.0
Autoriser l’accès à distance CMA_0024 – Autoriser l’accès à distance Manuel, désactivé 1.1.0
Les variables de compte Automation doivent être chiffrées Il est important d’activer le chiffrement des ressources variables du compte Automation lors du stockage de données sensibles Audit, Refuser, Désactivé 1.1.0
Les ressources Azure AI Services doivent chiffrer les données au repos avec une clé gérée par le client (CMK) L’utilisation de clés gérées par le client pour chiffrer les données au repos offre un meilleur contrôle sur le cycle de vie des clés, notamment la rotation et la gestion. Cela est particulièrement pertinent pour les organisations ayant des exigences de conformité associées. Cela n’est pas évalué par défaut et doit être appliqué uniquement en cas d’exigences de stratégie restrictives ou de conformité. Si cette option n’est pas activée, les données sont chiffrées à l’aide de clés gérées par la plateforme. Pour implémenter cela, mettez à jour le paramètre « Effet » dans la stratégie de sécurité pour l’étendue applicable. Audit, Refuser, Désactivé 2.2.0
Les comptes Azure Cosmos DB doivent utiliser des clés gérées par le client pour chiffrer les données au repos Utilisez des clés gérées par le client pour gérer le chiffrement au repos de votre compte Azure Cosmos DB. Par défaut, les données sont chiffrées au repos avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/cosmosdb-cmk. audit, Audit, refus, Refus, désactivé, Désactivé 1.1.0
Les espaces de travail Azure Machine Learning doivent être chiffrés au moyen d’une clé gérée par le client Gérez le chiffrement au repos des données de votre espace de travail Azure Machine Learning à l’aide de clés gérées par le client. Par défaut, les données client sont chiffrées avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/azureml-workspaces-cmk. Audit, Refuser, Désactivé 1.1.0
Les comptes bloqués disposant d’autorisations de propriétaire sur les ressources Azure doivent être supprimés Les comptes déconseillés disposant d’autorisations de type propriétaire doivent être supprimés de votre abonnement. Les comptes déconseillés sont des comptes qui ont été empêchés de se connecter. AuditIfNotExists, Désactivé 1.0.0
La période de validité maximale doit être spécifiée pour les certificats Gérez les exigences en matière de conformité de votre organisation en spécifiant la durée maximale pendant laquelle un certificat peut être valide dans votre coffre de clés. audit, Audit, refus, Refus, désactivé, Désactivé 2.2.1
Les registres de conteneurs doivent être chiffrés avec une clé gérée par le client Utilisez des clés gérées par le client pour gérer le chiffrement au repos du contenu de vos registres. Par défaut, les données sont chiffrées au repos avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/acr/CMK. Audit, Refuser, Désactivé 1.1.2
Flux d’informations de contrôle CMA_0079 – Flux d’informations de contrôle Manuel, désactivé 1.1.0
Contrôler l’accès physique CMA_0081 – Contrôler l’accès physique Manuel, désactivé 1.1.0
Créer un inventaire des données CMA_0096 - Créer un inventaire des données Manuel, désactivé 1.1.0
Définir un processus de gestion des clés physiques CMA_0115 – Définir un processus de gestion des clés physiques Manuel, désactivé 1.1.0
Définir l’utilisation du chiffrement CMA_0120 – Définir l’utilisation du chiffrement Manuel, désactivé 1.1.0
Définir les exigences organisationnelles pour la gestion des clés de chiffrement CMA_0123 – Définir les exigences organisationnelles pour la gestion des clés de chiffrement Manuel, désactivé 1.1.0
Concevoir un modèle de contrôle d’accès CMA_0129 – Concevoir un modèle de contrôle d’accès Manuel, désactivé 1.1.0
Déterminer les exigences d’assertion CMA_0136 – Déterminer les exigences d’assertion Manuel, désactivé 1.1.0
Formation sur la mobilité des documents CMA_0191 – Formation sur la mobilité des documents Manuel, désactivé 1.1.0
Documentation des instructions d’accès à distance CMA_0196 – Documentation des instructions d’accès à distance Manuel, désactivé 1.1.0
Utiliser des mécanismes de contrôle de flux d’informations chiffrées CMA_0211 – Utiliser des mécanismes de contrôle de flux d’informations chiffrées Manuel, désactivé 1.1.0
Utiliser l’accès aux privilèges minimum CMA_0212 – Utiliser l’accès aux privilèges minimum Manuel, désactivé 1.1.0
Appliquer l’accès logique CMA_0245 – Appliquer l’accès logique Manuel, désactivé 1.1.0
Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires CMA_0246 – Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires Manuel, désactivé 1.1.0
L’application de la connexion SSL doit être activée pour les serveurs de base de données MySQL La base de données Azure pour MySQL prend en charge la connexion de votre serveur Azure Database pour MySQL aux applications clientes à l’aide de Secure Sockets Layer (SSL). L’application de connexions SSL entre votre serveur de base de données et vos applications clientes vous protège contre les « attaques de l’intercepteur » en chiffrant le flux de données entre le serveur et votre application. Cette configuration garantit que le protocole SSL est toujours activé pour l’accès à votre serveur de base de données. Audit, Désactivé 1.0.1
L’application de la connexion SSL doit être activée pour les serveurs de base de données PostgreSQL Azure Database pour PostgreSQL prend en charge la connexion de votre serveur Azure Database pour PostgreSQL aux applications clientes via SSL (Secure Sockets Layer). L’application de connexions SSL entre votre serveur de base de données et vos applications clientes vous protège contre les « attaques de l’intercepteur » en chiffrant le flux de données entre le serveur et votre application. Cette configuration garantit que le protocole SSL est toujours activé pour l’accès à votre serveur de base de données. Audit, Désactivé 1.0.1
Établir une procédure de gestion des fuites de données CMA_0255 – Établir une procédure de gestion des fuites de données Manuel, désactivé 1.1.0
Établir des normes de configuration de pare-feu et de routeur CMA_0272 – Établir des normes de configuration de pare-feu et de routeur Manuel, désactivé 1.1.0
Établir une segmentation réseau pour l’environnement de données du titulaire de carte CMA_0273 – Établir une segmentation réseau pour l’environnement de données du titulaire de carte Manuel, désactivé 1.1.0
Les applications Function App ne doivent être accessibles que via HTTPS L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. Audit, Désactivé, Refus 5.0.0
Les applications de fonction doivent exiger FTPS uniquement Activer la mise en œuvre de FTPS pour renforcer la sécurité. AuditIfNotExists, Désactivé 3.0.0
Les applications de fonctions doivent utiliser la dernière version TLS Régulièrement, de nouvelles versions sont publiées pour le stockage local de thread (TLS), soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications de fonction afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. AuditIfNotExists, Désactivé 2.0.1
Les comptes invités disposant d’autorisations de propriétaire sur les ressources Azure doivent être supprimés Les comptes externes avec des autorisations de type propriétaire doivent être supprimés de votre abonnement pour empêcher un accès non contrôlé. AuditIfNotExists, Désactivé 1.0.0
Identifier et gérer les échanges d’informations en aval CMA_0298 – Identifier et gérer les échanges d’informations en aval Manuel, désactivé 1.1.0
Implémenter des contrôles pour sécuriser d’autres sites de travail CMA_0315 – Implémenter des contrôles pour sécuriser d’autres sites de travail Manuel, désactivé 1.1.0
Implémenter la sécurité physique pour les bureaux, les zones de travail et les zones sécurisées CMA_0323 - Implémenter la sécurité physique pour les bureaux, les zones de travail et les zones sécurisées Manuel, désactivé 1.1.0
Les machines virtuelles accessibles à partir d’Internet doivent être protégées avec des groupes de sécurité réseau Protégez vos machines virtuelles contre les menaces potentielles en limitant leur accès avec des groupes de sécurité réseau (NSG). Pour en savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau, consultez https://aka.ms/nsg-doc. AuditIfNotExists, Désactivé 3.0.0
Émettre des certificats de clé publique CMA_0347 – Émettre des certificats de clé publique Manuel, désactivé 1.1.0
Les clés Key Vault doivent avoir une date d’expiration Les clés de chiffrement doivent avoir une date d’expiration définie et ne pas être permanentes. Les clés valides indéfiniment offrent à un intrus potentiel plus de temps pour compromettre la clé. Il est recommandé de définir les dates d’expiration des clés de chiffrement. Audit, Refuser, Désactivé 1.0.2
Les secrets Key Vault doivent avoir une date d’expiration Les secrets doivent avoir une date d’expiration définie et ne pas être permanents. Les secrets valides indéfiniment offrent à un attaquant potentiel plus de temps pour les compromettre. Il est recommandé de définir les dates d’expiration des secrets. Audit, Refuser, Désactivé 1.0.2
La protection contre la suppression doit être activée pour les coffres de clés La suppression malveillante d’un coffre de clés peut entraîner une perte définitive des données. Vous pouvez empêcher la perte permanente de données en activant la protection contre la suppression définitive et la suppression réversible. La protection contre la suppression définitive vous protège des attaques internes en appliquant une période de conservation obligatoire pour les coffres de clés supprimés de manière réversible. Personne au sein de votre organisation ni chez Microsoft ne pourra supprimer définitivement vos coffres de clés pendant la période de conservation de la suppression réversible. N’oubliez pas que la suppression réversible est activée par défaut pour les coffres de clés créés après le 1er septembre 2019. Audit, Refuser, Désactivé 2.1.0
La suppression réversible doit être activée sur les coffres de clés La suppression d’un coffre de clés sur lequel la suppression réversible n’est pas activée supprime définitivement tous les secrets, toutes les clés et tous les certificats qui y stockés. La suppression accidentelle d’un coffre de clés peut entraîner la perte définitive des données. La suppression réversible vous permet de récupérer un coffre de clés supprimé accidentellement, pendant une période de conservation configurable. Audit, Refuser, Désactivé 3.0.0
Les clusters Kubernetes doivent être accessibles uniquement par le biais de HTTPS L’utilisation de HTTPS garantit l’authentification et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. Cette capacité est actuellement en disponibilité générale pour Kubernetes Service (AKS) et en préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc audit, Audit, refus, Refus, désactivé, Désactivé 8.2.0
Conserver les enregistrements de traitement des données personnelles CMA_0353 - Conserver les enregistrements de traitement des données personnelles Manuel, désactivé 1.1.0
Gérer les clés de chiffrement symétriques CMA_0367 – Gérer les clés de chiffrement symétriques Manuel, désactivé 1.1.0
Gérer l’entrée, la sortie, le traitement et le stockage des données CMA_0369 – Gérer l’entrée, la sortie, le traitement et le stockage des données Manuel, désactivé 1.1.0
Les ports de gestion des machines virtuelles doivent être protégés par un contrôle d’accès réseau juste-à-temps L’éventuel accès juste-à-temps (JIT) au réseau sera supervisé par Azure Security Center en tant que recommandation AuditIfNotExists, Désactivé 3.0.0
Les ports de gestion doivent être fermés sur vos machines virtuelles Les ports de gestion à distance ouverts exposent votre machine virtuelle à un niveau de risque élevé des attaques basées sur Internet. Ces attaques tentent d’attaquer par force brute les informations d’identification afin d’obtenir un accès administrateur à l’ordinateur. AuditIfNotExists, Désactivé 3.0.0
Les serveurs MySQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos Utilisez des clés gérées par le client pour gérer le chiffrement au repos de vos serveurs MySQL. Par défaut, les données sont chiffrées au repos avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. AuditIfNotExists, Désactivé 1.0.4
Les machines virtuelles non connectées à Internet doivent être protégées avec des groupes de sécurité réseau Protégez vos machines virtuelles non connectées à Internet contre les menaces potentielles en limitant l’accès avec des groupes de sécurité réseau (NSG). Pour en savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau, consultez https://aka.ms/nsg-doc. AuditIfNotExists, Désactivé 3.0.0
Avertir les utilisateurs de l’ouverture de session ou de l’accès au système CMA_0382 - Avertir les utilisateurs de l’ouverture de session ou de l’accès au système Manuel, désactivé 1.1.0
Seules les connexions sécurisées à votre instance Azure Cache pour Redis doivent être activées Auditer l’activation des connexions établies uniquement par le biais de SSL au cache Azure pour Redis. L'utilisation de connexions sécurisées garantit l'authentification entre le serveur et le service et protège les données en transit contre les attaques de la couche réseau (attaque de l'intercepteur ou « man-in-the-middle », écoute clandestine, détournement de session). Audit, Refuser, Désactivé 1.0.0
Les serveurs PostgreSQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos Utilisez des clés gérées par le client pour gérer le chiffrement au repos de vos serveurs PostgreSQL. Par défaut, les données sont chiffrées au repos avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. AuditIfNotExists, Désactivé 1.0.4
Protéger les données en transit à l’aide du chiffrement CMA_0403 – Protéger les données en transit à l’aide du chiffrement Manuel, désactivé 1.1.0
Protéger des informations spéciales CMA_0409 – Protéger des informations spéciales Manuel, désactivé 1.1.0
Fournir une formation sur la confidentialité CMA_0415 – Fournir une formation sur la confidentialité Manuel, désactivé 1.1.0
Exiger une approbation pour la création de compte CMA_0431 – Exiger une approbation pour la création de compte Manuel, désactivé 1.1.0
Restreindre l’accès aux clés privées CMA_0445 – Restreindre l’accès aux clés privées Manuel, désactivé 1.1.0
Examiner les groupes d’utilisateurs et les applications ayant accès à des données sensibles CMA_0481 – Examiner les groupes d’utilisateurs et les applications ayant accès à des données sensibles Manuel, désactivé 1.1.0
La sécurisation du transfert vers des comptes de stockage doit être activée Auditer l’exigence de transfert sécurisé dans votre compte de stockage. L’option de sécurisation du transfert oblige votre compte de stockage à accepter uniquement des requêtes provenant de connexions sécurisées (HTTPS). L’utilisation de HTTPS garantit l’authentification entre le serveur et le service et protège les données en transit contre les attaques de la couche réseau (attaque de l’intercepteur ou « man-in-the-middle », écoute clandestine, détournement de session) Audit, Refuser, Désactivé 2.0.0
La propriété ClusterProtectionLevel doit être définie sur EncryptAndSign pour les clusters Service Fabric Service Fabric fournit trois niveaux de protection (None, Sign et EncryptAndSign) pour la communication nœud à nœud à l’aide d’un certificat de cluster principal. Définissez le niveau de protection pour vous assurer que tous les messages de nœud à nœud sont chiffrés et signés numériquement Audit, Refuser, Désactivé 1.1.0
Les instances managées SQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos L’implémentation de TDE (Transparent Data Encryption) avec votre propre clé vous offre les avantages suivants : transparence et contrôle améliorés sur le protecteur TDE, sécurité renforcée avec un service externe HSM et promotion de la séparation des tâches. Cette recommandation s’applique aux organisations ayant une exigence de conformité associée. Audit, Refuser, Désactivé 2.0.0
Les serveurs SQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos L’implémentation de TDE (Transparent Data Encryption) avec votre propre clé vous offre les avantages suivants : transparence et contrôle améliorés sur le protecteur TDE, sécurité renforcée avec un service externe HSM et promotion de la séparation des tâches. Cette recommandation s’applique aux organisations ayant une exigence de conformité associée. Audit, Refuser, Désactivé 2.0.1
Le compte de stockage disposant du conteneur des journaux d’activité doit être chiffré avec BYOK Cette stratégie vérifie si le compte de stockage disposant du conteneur des journaux d’activité est chiffré avec BYOK. La stratégie fonctionne uniquement si le compte de stockage se trouve par défaut dans le même abonnement que les journaux d’activité. Vous trouverez plus d’informations sur le chiffrement du stockage Azure au repos ici https://aka.ms/azurestoragebyok. AuditIfNotExists, Désactivé 1.0.0
Les comptes de stockage doivent utiliser une clé gérée par le client pour le chiffrement Sécurisez votre compte de stockage blob et fichier avec une plus grande flexibilité en utilisant des clés gérées par le client. Quand vous spécifiez une clé gérée par le client, cette clé est utilisée pour protéger et contrôler l’accès à la clé qui chiffre vos données. L’utilisation de clés gérées par le client fournit des fonctionnalités supplémentaires permettant de contrôler la rotation de la clé de chiffrement de clé ou d’effacer des données par chiffrement. Audit, Désactivé 1.0.3
les sous-réseaux doivent être associés à un groupe de sécurité réseau Protégez votre sous-réseau contre les menaces potentielles en y limitant l’accès avec un groupe de sécurité réseau (NSG). Les NSG contiennent une liste de règles de liste de contrôle d’accès (ACL) qui autorisent ou refusent le trafic réseau vers votre sous-réseau. AuditIfNotExists, Désactivé 3.0.0
Plusieurs propriétaires doivent être attribués à votre abonnement Il est recommandé de désigner plusieurs propriétaires d'abonnement pour disposer de la redondance de l'accès administrateur. AuditIfNotExists, Désactivé 3.0.0
Transparent Data Encryption sur les bases de données SQL doit être activé Le chiffrement transparent des données doit être activé pour protéger les données au repos et respecter les conditions de conformité requises AuditIfNotExists, Désactivé 2.0.0
Les machines Windows doivent être configurées de façon à utiliser des protocoles de communication sécurisés Pour protéger la confidentialité des informations communiquées sur Internet, vos machines doivent utiliser la dernière version du protocole de chiffrement standard, TLS (Transport Layer Security). TLS sécurise les communications sur un réseau en chiffrant une connexion entre les machines. AuditIfNotExists, Désactivé 4.1.1

Approvisionnement et suppression de l’accès

ID : SOC 2 Type 2 CC6.2 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Affecter des gestionnaires de comptes CMA_0015 - Affecter des gestionnaires de comptes Manuel, désactivé 1.1.0
Auditer l’état du compte d’utilisateur CMA_0020 – Auditer l’état du compte d’utilisateur Manuel, désactivé 1.1.0
Les comptes bloqués disposant d’autorisations en lecture et en écriture sur les ressources Azure doivent être supprimés Les comptes déconseillés doivent être supprimés de vos abonnements. Les comptes déconseillés sont des comptes qui ont été empêchés de se connecter. AuditIfNotExists, Désactivé 1.0.0
Documenter les privilèges d’accès CMA_0186 - Documenter les privilèges d’accès Manuel, désactivé 1.1.0
Établir des conditions pour l’appartenance à un rôle CMA_0269 - Établir des conditions pour l’appartenance à un rôle Manuel, désactivé 1.1.0
Les comptes invités disposant d’autorisations en lecture sur les ressources Azure doivent être supprimés Les comptes externes avec des privilèges d'accès en lecture doivent être supprimés de votre abonnement afin d'empêcher un accès non contrôlé. AuditIfNotExists, Désactivé 1.0.0
Les comptes invités disposant d’autorisations en écriture sur les ressources Azure doivent être supprimés Les comptes externes avec des privilèges d'accès en écriture doivent être supprimés de votre abonnement afin d'empêcher un accès non contrôlé. AuditIfNotExists, Désactivé 1.0.0
Exiger une approbation pour la création de compte CMA_0431 – Exiger une approbation pour la création de compte Manuel, désactivé 1.1.0
Restreindre l’accès aux comptes privilégiés CMA_0446 – Restreindre l’accès aux comptes privilégiés Manuel, désactivé 1.1.0
Examiner les journaux d’approvisionnement de compte CMA_0460 – Examiner les journaux d’approvisionnement de compte Manuel, désactivé 1.1.0
Réviser les comptes d’utilisateur CMA_0480 – Passer en revue les comptes d’utilisateurs Manuel, désactivé 1.1.0

Accès basé sur un rôle et privilège minimum

ID : SOC 2 Type 2 CC6.3 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
3 propriétaires maximum doivent être désignés pour votre abonnement Il est recommandé de désigner jusqu'à 3 propriétaires d'abonnement pour réduire le risque de violation par un propriétaire compromis. AuditIfNotExists, Désactivé 3.0.0
Auditer les fonctions privilégiées CMA_0019 – Auditer les fonctions privilégiées Manuel, désactivé 1.1.0
Auditer l’utilisation des rôles RBAC personnalisés Auditer des rôles intégrés tels que « Propriétaire, contributeur, lecteur » au lieu des rôles RBAC personnalisés, qui sont susceptibles d’engendrer des erreurs. L’utilisation de rôles personnalisés est traitée comme une exception et nécessite un contrôle rigoureux et la modélisation des menaces Audit, Désactivé 1.0.1
Auditer l’état du compte d’utilisateur CMA_0020 – Auditer l’état du compte d’utilisateur Manuel, désactivé 1.1.0
Les comptes bloqués disposant d’autorisations de propriétaire sur les ressources Azure doivent être supprimés Les comptes déconseillés disposant d’autorisations de type propriétaire doivent être supprimés de votre abonnement. Les comptes déconseillés sont des comptes qui ont été empêchés de se connecter. AuditIfNotExists, Désactivé 1.0.0
Les comptes bloqués disposant d’autorisations en lecture et en écriture sur les ressources Azure doivent être supprimés Les comptes déconseillés doivent être supprimés de vos abonnements. Les comptes déconseillés sont des comptes qui ont été empêchés de se connecter. AuditIfNotExists, Désactivé 1.0.0
Concevoir un modèle de contrôle d’accès CMA_0129 – Concevoir un modèle de contrôle d’accès Manuel, désactivé 1.1.0
Utiliser l’accès aux privilèges minimum CMA_0212 – Utiliser l’accès aux privilèges minimum Manuel, désactivé 1.1.0
Les comptes invités disposant d’autorisations de propriétaire sur les ressources Azure doivent être supprimés Les comptes externes avec des autorisations de type propriétaire doivent être supprimés de votre abonnement pour empêcher un accès non contrôlé. AuditIfNotExists, Désactivé 1.0.0
Les comptes invités disposant d’autorisations en lecture sur les ressources Azure doivent être supprimés Les comptes externes avec des privilèges d'accès en lecture doivent être supprimés de votre abonnement afin d'empêcher un accès non contrôlé. AuditIfNotExists, Désactivé 1.0.0
Les comptes invités disposant d’autorisations en écriture sur les ressources Azure doivent être supprimés Les comptes externes avec des privilèges d'accès en écriture doivent être supprimés de votre abonnement afin d'empêcher un accès non contrôlé. AuditIfNotExists, Désactivé 1.0.0
Surveiller l’attribution de rôle privilégié CMA_0378 – Surveiller l’attribution de rôle privilégié Manuel, désactivé 1.1.0
Restreindre l’accès aux comptes privilégiés CMA_0446 – Restreindre l’accès aux comptes privilégiés Manuel, désactivé 1.1.0
Examiner les journaux d’approvisionnement de compte CMA_0460 – Examiner les journaux d’approvisionnement de compte Manuel, désactivé 1.1.0
Réviser les comptes d’utilisateur CMA_0480 – Passer en revue les comptes d’utilisateurs Manuel, désactivé 1.1.0
Passer en revue les privilèges utilisateur CMA_C1039 – Vérifier les privilèges utilisateur Manuel, désactivé 1.1.0
Révoquer les rôles privilégiés selon les besoins CMA_0483 – Révoquer les rôles privilégiés selon les besoins Manuel, désactivé 1.1.0
Le contrôle d’accès en fonction du rôle (RBAC) doit être utilisé sur les services Kubernetes Pour fournir un filtrage précis des actions que les utilisateurs peuvent effectuer, utilisez le contrôle d’accès en fonction du rôle (RBAC) pour gérer les autorisations dans les clusters Kubernetes Service et configurez les stratégies d’autorisation appropriées. Audit, Désactivé 1.0.4
Plusieurs propriétaires doivent être attribués à votre abonnement Il est recommandé de désigner plusieurs propriétaires d'abonnement pour disposer de la redondance de l'accès administrateur. AuditIfNotExists, Désactivé 3.0.0
Utiliser Privileged Identity Management CMA_0533 – Utiliser la gestion des identités privilégiées Manuel, désactivé 1.1.0

Accès physique restreint

ID : SOC 2 Type 2 CC6.4 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Contrôler l’accès physique CMA_0081 – Contrôler l’accès physique Manuel, désactivé 1.1.0

Protections logiques et physiques des biens matériels

ID : SOC 2 Type 2 CC6.5 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Utiliser un mécanisme de nettoyage des médias CMA_0208 - Utiliser un mécanisme de nettoyage des médias Manuel, désactivé 1.1.0
Implémenter des contrôles pour sécuriser tous les supports CMA_0314 – Implémenter des contrôles pour sécuriser tous les supports Manuel, désactivé 1.1.0

Mesures de sécurité contre les menaces extérieures aux limites du système

ID : SOC 2 Type 2 CC6.6 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
[Préversion] : L’ensemble du trafic Internet doit transiter par votre Pare-feu Azure déployé Azure Security Center a détecté que certains de vos sous-réseaux ne sont pas protégés par un pare-feu de nouvelle génération. Protégez vos sous-réseaux contre les menaces potentielles en limitant leur accès avec le pare-feu Azure ou un pare-feu de nouvelle génération pris en charge AuditIfNotExists, Désactivé 3.0.0-preview
Les comptes disposant d’autorisations de propriétaire sur les ressources Azure doivent être compatibles avec l’authentification multifacteur MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant d'autorisations de propriétaire afin d'éviter une violation des comptes ou des ressources. AuditIfNotExists, Désactivé 1.0.0
Les comptes disposant d’autorisations en lecture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en lecture afin d'éviter une violation des comptes ou des ressources. AuditIfNotExists, Désactivé 1.0.0
Les comptes disposant d’autorisations en écriture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en écriture pour éviter une violation des comptes ou des ressources. AuditIfNotExists, Désactivé 1.0.0
Adopter des mécanismes d’authentification biométrique CMA_0005 – Adopter des mécanismes d’authentification biométrique Manuel, désactivé 1.1.0
Tous les ports réseau doivent être restreints sur les groupes de sécurité réseau associés à votre machine virtuelle Azure Security Center a identifié qu’une partie des règles de trafic entrant de vos groupes de sécurité réseau est trop permissive. Les règles de trafic entrant ne doivent pas autoriser l’accès à partir des plages « Tout » ou « Internet ». Cela peut permettre aux attaquants de cibler vos ressources. AuditIfNotExists, Désactivé 3.0.0
Les applications App Service doivent être accessibles uniquement via HTTPS L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. Audit, Désactivé, Refus 4.0.0
Les applications App Service doivent exiger FTPS uniquement Activer la mise en œuvre de FTPS pour renforcer la sécurité. AuditIfNotExists, Désactivé 3.0.0
L’authentification auprès des machines Linux doit exiger des clés SSH Bien que le protocole SSH lui-même offre une connexion chiffrée, l’utilisation de mots de passe avec SSH laisse néanmoins la machine virtuelle vulnérable aux attaques en force brute. L’option la plus sûre pour l’authentification auprès d’une machine virtuelle Linux Azure via SSH est d’utiliser une paire de clés publique-privée, également appelées clés SSH. En savoir plus : https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. AuditIfNotExists, Désactivé 3.2.0
Autoriser l’accès à distance CMA_0024 – Autoriser l’accès à distance Manuel, désactivé 1.1.0
Azure Web Application Firewall doit être activé pour les points d’entrée Azure Front Door Déployez Azure Web Application Firewall (WAF) devant les applications web publiques pour bénéficier d’un contrôle supplémentaire du trafic entrant. Web Application Firewall (WAF) offre une protection centralisée de vos applications web contre les codes malveillants exploitant une faille de sécurité et les vulnérabilités telles que les injections de code SQL, le scripting inter-site, les exécutions de fichiers locales et à distance. Vous pouvez également restreindre l’accès à vos applications web par pays, plages d’adresses IP et autres paramètres http(s) par le biais de règles personnalisées. Audit, Refuser, Désactivé 1.0.2
Flux d’informations de contrôle CMA_0079 – Flux d’informations de contrôle Manuel, désactivé 1.1.0
Formation sur la mobilité des documents CMA_0191 – Formation sur la mobilité des documents Manuel, désactivé 1.1.0
Documentation des instructions d’accès à distance CMA_0196 – Documentation des instructions d’accès à distance Manuel, désactivé 1.1.0
Utiliser des mécanismes de contrôle de flux d’informations chiffrées CMA_0211 – Utiliser des mécanismes de contrôle de flux d’informations chiffrées Manuel, désactivé 1.1.0
L’application de la connexion SSL doit être activée pour les serveurs de base de données MySQL La base de données Azure pour MySQL prend en charge la connexion de votre serveur Azure Database pour MySQL aux applications clientes à l’aide de Secure Sockets Layer (SSL). L’application de connexions SSL entre votre serveur de base de données et vos applications clientes vous protège contre les « attaques de l’intercepteur » en chiffrant le flux de données entre le serveur et votre application. Cette configuration garantit que le protocole SSL est toujours activé pour l’accès à votre serveur de base de données. Audit, Désactivé 1.0.1
L’application de la connexion SSL doit être activée pour les serveurs de base de données PostgreSQL Azure Database pour PostgreSQL prend en charge la connexion de votre serveur Azure Database pour PostgreSQL aux applications clientes via SSL (Secure Sockets Layer). L’application de connexions SSL entre votre serveur de base de données et vos applications clientes vous protège contre les « attaques de l’intercepteur » en chiffrant le flux de données entre le serveur et votre application. Cette configuration garantit que le protocole SSL est toujours activé pour l’accès à votre serveur de base de données. Audit, Désactivé 1.0.1
Établir des normes de configuration de pare-feu et de routeur CMA_0272 – Établir des normes de configuration de pare-feu et de routeur Manuel, désactivé 1.1.0
Établir une segmentation réseau pour l’environnement de données du titulaire de carte CMA_0273 – Établir une segmentation réseau pour l’environnement de données du titulaire de carte Manuel, désactivé 1.1.0
Les applications Function App ne doivent être accessibles que via HTTPS L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. Audit, Désactivé, Refus 5.0.0
Les applications de fonction doivent exiger FTPS uniquement Activer la mise en œuvre de FTPS pour renforcer la sécurité. AuditIfNotExists, Désactivé 3.0.0
Les applications de fonctions doivent utiliser la dernière version TLS Régulièrement, de nouvelles versions sont publiées pour le stockage local de thread (TLS), soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications de fonction afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. AuditIfNotExists, Désactivé 2.0.1
Identifier et authentifier les périphériques réseau CMA_0296 – Identifier et authentifier les périphériques réseau Manuel, désactivé 1.1.0
Identifier et gérer les échanges d’informations en aval CMA_0298 – Identifier et gérer les échanges d’informations en aval Manuel, désactivé 1.1.0
Implémenter des contrôles pour sécuriser d’autres sites de travail CMA_0315 – Implémenter des contrôles pour sécuriser d’autres sites de travail Manuel, désactivé 1.1.0
Implémenter la protection des limites des systèmes CMA_0328 - Implémenter la protection des limites des systèmes Manuel, désactivé 1.1.0
Les machines virtuelles accessibles à partir d’Internet doivent être protégées avec des groupes de sécurité réseau Protégez vos machines virtuelles contre les menaces potentielles en limitant leur accès avec des groupes de sécurité réseau (NSG). Pour en savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau, consultez https://aka.ms/nsg-doc. AuditIfNotExists, Désactivé 3.0.0
Le transfert IP doit être désactivé sur votre machine virtuelle L’activation du transfert IP sur la carte réseau d’une machine virtuelle permet à cette dernière de recevoir du trafic adressé à d’autres destinations. Le transfert IP n'est que rarement nécessaire (par exemple, lors de l'utilisation de la machine virtuelle en tant qu'appliance virtuelle de réseau). Par conséquent, un examen par l'équipe de sécurité réseau est requis. AuditIfNotExists, Désactivé 3.0.0
Les clusters Kubernetes doivent être accessibles uniquement par le biais de HTTPS L’utilisation de HTTPS garantit l’authentification et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. Cette capacité est actuellement en disponibilité générale pour Kubernetes Service (AKS) et en préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc audit, Audit, refus, Refus, désactivé, Désactivé 8.2.0
Les ports de gestion des machines virtuelles doivent être protégés par un contrôle d’accès réseau juste-à-temps L’éventuel accès juste-à-temps (JIT) au réseau sera supervisé par Azure Security Center en tant que recommandation AuditIfNotExists, Désactivé 3.0.0
Les ports de gestion doivent être fermés sur vos machines virtuelles Les ports de gestion à distance ouverts exposent votre machine virtuelle à un niveau de risque élevé des attaques basées sur Internet. Ces attaques tentent d’attaquer par force brute les informations d’identification afin d’obtenir un accès administrateur à l’ordinateur. AuditIfNotExists, Désactivé 3.0.0
Les machines virtuelles non connectées à Internet doivent être protégées avec des groupes de sécurité réseau Protégez vos machines virtuelles non connectées à Internet contre les menaces potentielles en limitant l’accès avec des groupes de sécurité réseau (NSG). Pour en savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau, consultez https://aka.ms/nsg-doc. AuditIfNotExists, Désactivé 3.0.0
Avertir les utilisateurs de l’ouverture de session ou de l’accès au système CMA_0382 - Avertir les utilisateurs de l’ouverture de session ou de l’accès au système Manuel, désactivé 1.1.0
Seules les connexions sécurisées à votre instance Azure Cache pour Redis doivent être activées Auditer l’activation des connexions établies uniquement par le biais de SSL au cache Azure pour Redis. L'utilisation de connexions sécurisées garantit l'authentification entre le serveur et le service et protège les données en transit contre les attaques de la couche réseau (attaque de l'intercepteur ou « man-in-the-middle », écoute clandestine, détournement de session). Audit, Refuser, Désactivé 1.0.0
Protéger les données en transit à l’aide du chiffrement CMA_0403 – Protéger les données en transit à l’aide du chiffrement Manuel, désactivé 1.1.0
Fournir une formation sur la confidentialité CMA_0415 – Fournir une formation sur la confidentialité Manuel, désactivé 1.1.0
La sécurisation du transfert vers des comptes de stockage doit être activée Auditer l’exigence de transfert sécurisé dans votre compte de stockage. L’option de sécurisation du transfert oblige votre compte de stockage à accepter uniquement des requêtes provenant de connexions sécurisées (HTTPS). L’utilisation de HTTPS garantit l’authentification entre le serveur et le service et protège les données en transit contre les attaques de la couche réseau (attaque de l’intercepteur ou « man-in-the-middle », écoute clandestine, détournement de session) Audit, Refuser, Désactivé 2.0.0
les sous-réseaux doivent être associés à un groupe de sécurité réseau Protégez votre sous-réseau contre les menaces potentielles en y limitant l’accès avec un groupe de sécurité réseau (NSG). Les NSG contiennent une liste de règles de liste de contrôle d’accès (ACL) qui autorisent ou refusent le trafic réseau vers votre sous-réseau. AuditIfNotExists, Désactivé 3.0.0
Le pare-feu d’applications web (WAF) doit être activé pour Application Gateway Déployez Azure Web Application Firewall (WAF) devant les applications web publiques pour bénéficier d’un contrôle supplémentaire du trafic entrant. Web Application Firewall (WAF) offre une protection centralisée de vos applications web contre les codes malveillants exploitant une faille de sécurité et les vulnérabilités telles que les injections de code SQL, le scripting inter-site, les exécutions de fichiers locales et à distance. Vous pouvez également restreindre l’accès à vos applications web par pays, plages d’adresses IP et autres paramètres http(s) par le biais de règles personnalisées. Audit, Refuser, Désactivé 2.0.0
Les machines Windows doivent être configurées de façon à utiliser des protocoles de communication sécurisés Pour protéger la confidentialité des informations communiquées sur Internet, vos machines doivent utiliser la dernière version du protocole de chiffrement standard, TLS (Transport Layer Security). TLS sécurise les communications sur un réseau en chiffrant une connexion entre les machines. AuditIfNotExists, Désactivé 4.1.1

Réserver uniquement la diffusion des informations aux utilisateurs autorisés

ID : SOC 2 Type 2 CC6.7 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Tous les ports réseau doivent être restreints sur les groupes de sécurité réseau associés à votre machine virtuelle Azure Security Center a identifié qu’une partie des règles de trafic entrant de vos groupes de sécurité réseau est trop permissive. Les règles de trafic entrant ne doivent pas autoriser l’accès à partir des plages « Tout » ou « Internet ». Cela peut permettre aux attaquants de cibler vos ressources. AuditIfNotExists, Désactivé 3.0.0
Les applications App Service doivent être accessibles uniquement via HTTPS L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. Audit, Désactivé, Refus 4.0.0
Les applications App Service doivent exiger FTPS uniquement Activer la mise en œuvre de FTPS pour renforcer la sécurité. AuditIfNotExists, Désactivé 3.0.0
Configurer des stations de travail pour rechercher des certificats numériques CMA_0073 – Configurer des stations de travail pour rechercher des certificats numériques Manuel, désactivé 1.1.0
Flux d’informations de contrôle CMA_0079 – Flux d’informations de contrôle Manuel, désactivé 1.1.0
Définir les exigences pour les appareils mobiles CMA_0122 - Définir les exigences pour les appareils mobiles Manuel, désactivé 1.1.0
Utiliser un mécanisme de nettoyage des médias CMA_0208 - Utiliser un mécanisme de nettoyage des médias Manuel, désactivé 1.1.0
Utiliser des mécanismes de contrôle de flux d’informations chiffrées CMA_0211 – Utiliser des mécanismes de contrôle de flux d’informations chiffrées Manuel, désactivé 1.1.0
L’application de la connexion SSL doit être activée pour les serveurs de base de données MySQL La base de données Azure pour MySQL prend en charge la connexion de votre serveur Azure Database pour MySQL aux applications clientes à l’aide de Secure Sockets Layer (SSL). L’application de connexions SSL entre votre serveur de base de données et vos applications clientes vous protège contre les « attaques de l’intercepteur » en chiffrant le flux de données entre le serveur et votre application. Cette configuration garantit que le protocole SSL est toujours activé pour l’accès à votre serveur de base de données. Audit, Désactivé 1.0.1
L’application de la connexion SSL doit être activée pour les serveurs de base de données PostgreSQL Azure Database pour PostgreSQL prend en charge la connexion de votre serveur Azure Database pour PostgreSQL aux applications clientes via SSL (Secure Sockets Layer). L’application de connexions SSL entre votre serveur de base de données et vos applications clientes vous protège contre les « attaques de l’intercepteur » en chiffrant le flux de données entre le serveur et votre application. Cette configuration garantit que le protocole SSL est toujours activé pour l’accès à votre serveur de base de données. Audit, Désactivé 1.0.1
Établir des normes de configuration de pare-feu et de routeur CMA_0272 – Établir des normes de configuration de pare-feu et de routeur Manuel, désactivé 1.1.0
Établir une segmentation réseau pour l’environnement de données du titulaire de carte CMA_0273 – Établir une segmentation réseau pour l’environnement de données du titulaire de carte Manuel, désactivé 1.1.0
Les applications Function App ne doivent être accessibles que via HTTPS L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. Audit, Désactivé, Refus 5.0.0
Les applications de fonction doivent exiger FTPS uniquement Activer la mise en œuvre de FTPS pour renforcer la sécurité. AuditIfNotExists, Désactivé 3.0.0
Les applications de fonctions doivent utiliser la dernière version TLS Régulièrement, de nouvelles versions sont publiées pour le stockage local de thread (TLS), soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications de fonction afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. AuditIfNotExists, Désactivé 2.0.1
Identifier et gérer les échanges d’informations en aval CMA_0298 – Identifier et gérer les échanges d’informations en aval Manuel, désactivé 1.1.0
Implémenter des contrôles pour sécuriser tous les supports CMA_0314 – Implémenter des contrôles pour sécuriser tous les supports Manuel, désactivé 1.1.0
Les machines virtuelles accessibles à partir d’Internet doivent être protégées avec des groupes de sécurité réseau Protégez vos machines virtuelles contre les menaces potentielles en limitant leur accès avec des groupes de sécurité réseau (NSG). Pour en savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau, consultez https://aka.ms/nsg-doc. AuditIfNotExists, Désactivé 3.0.0
Les clusters Kubernetes doivent être accessibles uniquement par le biais de HTTPS L’utilisation de HTTPS garantit l’authentification et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. Cette capacité est actuellement en disponibilité générale pour Kubernetes Service (AKS) et en préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc audit, Audit, refus, Refus, désactivé, Désactivé 8.2.0
Gérer le transport des ressources CMA_0370 - Gérer le transport des ressources Manuel, désactivé 1.1.0
Les ports de gestion des machines virtuelles doivent être protégés par un contrôle d’accès réseau juste-à-temps L’éventuel accès juste-à-temps (JIT) au réseau sera supervisé par Azure Security Center en tant que recommandation AuditIfNotExists, Désactivé 3.0.0
Les ports de gestion doivent être fermés sur vos machines virtuelles Les ports de gestion à distance ouverts exposent votre machine virtuelle à un niveau de risque élevé des attaques basées sur Internet. Ces attaques tentent d’attaquer par force brute les informations d’identification afin d’obtenir un accès administrateur à l’ordinateur. AuditIfNotExists, Désactivé 3.0.0
Les machines virtuelles non connectées à Internet doivent être protégées avec des groupes de sécurité réseau Protégez vos machines virtuelles non connectées à Internet contre les menaces potentielles en limitant l’accès avec des groupes de sécurité réseau (NSG). Pour en savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau, consultez https://aka.ms/nsg-doc. AuditIfNotExists, Désactivé 3.0.0
Seules les connexions sécurisées à votre instance Azure Cache pour Redis doivent être activées Auditer l’activation des connexions établies uniquement par le biais de SSL au cache Azure pour Redis. L'utilisation de connexions sécurisées garantit l'authentification entre le serveur et le service et protège les données en transit contre les attaques de la couche réseau (attaque de l'intercepteur ou « man-in-the-middle », écoute clandestine, détournement de session). Audit, Refuser, Désactivé 1.0.0
Protéger les données en transit à l’aide du chiffrement CMA_0403 – Protéger les données en transit à l’aide du chiffrement Manuel, désactivé 1.1.0
Protéger les mots de passe avec le chiffrement CMA_0408 – Protéger les mots de passe avec le chiffrement Manuel, désactivé 1.1.0
La sécurisation du transfert vers des comptes de stockage doit être activée Auditer l’exigence de transfert sécurisé dans votre compte de stockage. L’option de sécurisation du transfert oblige votre compte de stockage à accepter uniquement des requêtes provenant de connexions sécurisées (HTTPS). L’utilisation de HTTPS garantit l’authentification entre le serveur et le service et protège les données en transit contre les attaques de la couche réseau (attaque de l’intercepteur ou « man-in-the-middle », écoute clandestine, détournement de session) Audit, Refuser, Désactivé 2.0.0
les sous-réseaux doivent être associés à un groupe de sécurité réseau Protégez votre sous-réseau contre les menaces potentielles en y limitant l’accès avec un groupe de sécurité réseau (NSG). Les NSG contiennent une liste de règles de liste de contrôle d’accès (ACL) qui autorisent ou refusent le trafic réseau vers votre sous-réseau. AuditIfNotExists, Désactivé 3.0.0
Les machines Windows doivent être configurées de façon à utiliser des protocoles de communication sécurisés Pour protéger la confidentialité des informations communiquées sur Internet, vos machines doivent utiliser la dernière version du protocole de chiffrement standard, TLS (Transport Layer Security). TLS sécurise les communications sur un réseau en chiffrant une connexion entre les machines. AuditIfNotExists, Désactivé 4.1.1

Prévenir ou détecter les logiciels non autorisés ou malveillants

ID : SOC 2 Type 2 CC6.8 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
[Déconseillé] L’option « Certificats clients (certificats clients entrants) » doit être activée sur les applications de fonction Les certificats clients permettent à l’application de demander un certificat pour les demandes entrantes. Seuls les clients disposant de certificats valides peuvent accéder à l’application. Cette stratégie a été remplacée par une nouvelle stratégie portant le même nom, car HTTP 2.0 ne prend pas en charge les certificats clients. Audit, Désactivé 3.1.0-deprecated
[Préversion] : L’extension Attestation d’invité doit être installée sur les machines virtuelles Linux prises en charge Installez l’extension Attestation d’invité sur les machines virtuelles Linux prises en charge afin de permettre à Azure Security Center d’attester et de superviser de manière proactive l’intégrité du démarrage. Une fois l’installation terminée, l’intégrité du démarrage est attestée par le biais d’une attestation à distance. Cette évaluation s’applique aux machines virtuelles Linux confidentielles et avec lancement fiable. AuditIfNotExists, Désactivé 6.0.0-preview
[Préversion] : L’extension Attestation d’invité doit être installée sur les groupes de machines virtuelles identiques Linux prises en charge Installez l’extension Attestation d’invité sur les groupes de machines virtuelles identiques Linux prises en charge afin de permettre à Azure Security Center d’attester et de superviser de manière proactive l’intégrité du démarrage. Une fois l’installation terminée, l’intégrité du démarrage est attestée par le biais d’une attestation à distance. Cette évaluation s’applique aux groupes de machines virtuelles identiques Linux confidentielles et avec lancement fiable. AuditIfNotExists, Désactivé 5.1.0-preview
[Préversion] : L’extension Attestation d’invité doit être installée sur les machines virtuelles Windows prises en charge Installez l’extension Attestation d’invité sur les machines virtuelles prises en charge afin de permettre à Azure Security Center d’attester et de superviser de manière proactive l’intégrité du démarrage. Une fois l’installation terminée, l’intégrité du démarrage est attestée par le biais d’une attestation à distance. Cette évaluation s’applique aux machines virtuelles Windows confidentielles et avec lancement fiable. AuditIfNotExists, Désactivé 4.0.0-preview
[Préversion] : L’extension Attestation d’invité doit être installée sur les groupes de machines virtuelles identiques Windows prises en charge Installez l’extension Attestation d’invité sur les groupes de machines virtuelles identiques prises en charge afin de permettre à Azure Security Center d’attester et de superviser de manière proactive l’intégrité du démarrage. Une fois l’installation terminée, l’intégrité du démarrage est attestée par le biais d’une attestation à distance. Cette évaluation s’applique aux groupes de machines virtuelles identiques Windows confidentielles et avec lancement fiable. AuditIfNotExists, Désactivé 3.1.0-preview
[Préversion] : Le démarrage sécurisé doit être activé sur les machines virtuelles Windows prises en charge Activez le démarrage sécurisé sur les machines virtuelles Windows prises en charge pour réduire les changements malveillants et non autorisés de la chaîne de démarrage. Une fois le démarrage sécurisé activé, seuls les chargeurs de démarrage, noyaux et pilotes de noyau approuvés sont autorisés à s’exécuter. Cette évaluation s’applique aux machines virtuelles Windows confidentielles et avec lancement fiable. Audit, Désactivé 4.0.0-preview
[Préversion] : vTPM doit être activé sur les machines virtuelles prises en charge Activez l’appareil module de plateforme sécurisée (TPM) virtuel sur les machines virtuelles prises en charge pour faciliter le démarrage mesuré et d’autres fonctionnalités de sécurité du système d’exploitation qui nécessitent un TPM. Une fois l’appareil vTPM activé, il permet d’attester l’intégrité du démarrage. Cette évaluation s’applique uniquement aux machines virtuelles pour lesquelles le lancement fiable est activé. Audit, Désactivé 2.0.0-preview
L’option « Certificats clients (certificats clients entrants) » doit être activée sur les applications App service Les certificats clients permettent à l’application de demander un certificat pour les demandes entrantes. Seuls les clients disposant d’un certificat valide peuvent accéder à l’application. Cette stratégie s’applique aux applications avec la version HTTP définie sur 1.1. AuditIfNotExists, Désactivé 1.0.0
Le débogage à distance doit être désactivé pour les applications App Service Le débogage distant nécessite que des ports d’entrée soient ouverts sur une application App Service. Le débogage à distance doit être désactivé. AuditIfNotExists, Désactivé 2.0.0
Les applications App Service ne doivent pas avoir de CORS configuré pour permettre à toutes les ressources d'accéder à vos applications Le partage des ressources cross-origin (CORS) ne doit pas autoriser tous les domaines à accéder à votre application. Autorisez uniquement les domaines requis à interagir avec votre application. AuditIfNotExists, Désactivé 2.0.0
Les applications App Service doivent utiliser la dernière « version HTTP » Régulièrement, de nouvelles versions sont publiées pour HTTP, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. L’utilisation de la version de HTTP la plus récente est recommandée pour les applications web afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. AuditIfNotExists, Désactivé 4.0.0
Faire l’audit des machines virtuelles n’utilisant aucun disque managé Cette stratégie fait l’audit des machines virtuelles n’utilisant pas de disque managé audit 1.0.0
L’extension Azure Policy doit être installée sur les clusters Kubernetes avec Azure Arc L'extension Azure Policy pour Azure Arc fournit des mesures d'application et de protection à grande échelle sur vos clusters Kubernetes compatibles avec Arc, de manière centralisée et cohérente. Pour en savoir plus, rendez-vous sur https://aka.ms/akspolicydoc. AuditIfNotExists, Désactivé 1.1.0
L’extension Azure Policy pour Azure Kubernetes Service (AKS) doit être installée et activée sur vos clusters L’extension Azure Policy pour Azure Kubernetes Service (AKS) étend Gatekeeper v3, webhook de contrôleur d’admission pour Open Policy Agent (OPA), afin d’appliquer des mesures et des protections à grande échelle sur vos clusters de manière centralisée et cohérente. Audit, Désactivé 1.0.2
Bloque les processus non approuvés et non signés qui s’exécutent par USB CMA_0050 – Bloquer les processus non signés et non approuvés qui s'exécutent à partir d'un lecteur USB Manuel, désactivé 1.1.0
Le débogage à distance doit être désactivé pour les applications de fonctions Le débogage distant nécessite que des ports d’entrée soient ouverts sur les applications de fonction. Le débogage à distance doit être désactivé. AuditIfNotExists, Désactivé 2.0.0
Les applications de fonctions ne doivent pas avoir de CORS configuré pour permettre à toutes les ressources d'accéder à vos applications Le mécanisme CORS (Cross-Origin Resource Sharing) ne devrait pas autoriser tous les domaines à accéder à votre application de fonction. Autorisez uniquement les domaines nécessaires à interagir avec votre application de fonction. AuditIfNotExists, Désactivé 2.0.0
Les applications de fonctions doivent utiliser la dernière « version HTTP » Régulièrement, de nouvelles versions sont publiées pour HTTP, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. L’utilisation de la version de HTTP la plus récente est recommandée pour les applications web afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. AuditIfNotExists, Désactivé 4.0.0
L’extension Guest Configuration doit être installée sur vos machines Pour garantir des configurations sécurisées des paramètres dans l’invité de votre machine, installez l’extension Guest Configuration. Parmi les paramètres dans l’invité qui sont supervisés par l’extension figurent la configuration du système d’exploitation, la présence ou la configuration de l’application et les paramètres d’environnement. Une fois l’installation terminée, les stratégies dans l’invité seront disponibles, par exemple « Windows Exploit Guard doit être activé ». Pour en savoir plus, rendez-vous sur https://aka.ms/gcpol. AuditIfNotExists, Désactivé 1.0.3
Les limites de ressources processeur et de mémoire des conteneurs de clusters Kubernetes ne doivent pas dépasser les limites spécifiées Appliquez des limites de ressources processeur et de mémoire au conteneur pour empêcher les attaques d’épuisement des ressources dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. audit, Audit, refus, Refus, désactivé, Désactivé 9.3.0
Les conteneurs de cluster Kubernetes ne doivent pas partager l’espace de noms de l’ID de processus hôte ou l’espace de noms IPC hôte Empêche les conteneurs de pod de partager l’espace de noms de l’ID de processus hôte et l’espace de noms IPC hôte dans un cluster Kubernetes. Cette recommandation fait partie du CIS 5.2.2 et du CIS 5.2.3, qui visent à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. audit, Audit, refus, Refus, désactivé, Désactivé 5.2.0
Les conteneurs de cluster Kubernetes doivent utiliser uniquement des profils AppArmor autorisés Les conteneurs de clusters Kubernetes doivent utiliser uniquement des profils AppArmor autorisés. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. audit, Audit, refus, Refus, désactivé, Désactivé 6.2.0
Les conteneurs de cluster Kubernetes doivent utiliser uniquement des fonctionnalités autorisées Limitez les fonctionnalités afin de réduire la surface d’attaque des conteneurs dans un cluster Kubernetes. Cette recommandation fait partie du CIS 5.2.8 et du CIS 5.2.9, qui visent à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. audit, Audit, refus, Refus, désactivé, Désactivé 6.2.0
Les conteneurs de cluster Kubernetes doivent utiliser uniquement des fonctionnalités autorisées Utilisez des images provenant de registres approuvés pour réduire le risque d’exposition du cluster Kubernetes aux vulnérabilités inconnues, aux problèmes de sécurité et aux images malveillantes. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. audit, Audit, refus, Refus, désactivé, Désactivé 9.3.0
Les conteneurs de cluster Kubernetes doivent s’exécuter avec un système de fichiers racine en lecture seule Exécutez des conteneurs avec un système de fichiers racine en lecture seule pour le protéger contre les modifications au moment de l’exécution avec des fichiers binaires malveillants ajoutés au chemin d’accès dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. audit, Audit, refus, Refus, désactivé, Désactivé 6.3.0
Les volumes hostPath de pod de cluster Kubernetes doivent utiliser uniquement des chemins d’hôte autorisés Limitez les montages de volume HostPath sur le pod aux chemins d’accès hôtes autorisés dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS) et pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. audit, Audit, refus, Refus, désactivé, Désactivé 6.2.0
Les pods et les conteneurs de cluster Kubernetes doivent être exécutés uniquement avec des ID d’utilisateur et de groupe approuvés Contrôle les ID d’utilisateur, de groupe principal, de groupe supplémentaire et de groupe de systèmes de fichiers que les pods et les conteneurs peuvent utiliser pour s’exécuter dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. audit, Audit, refus, Refus, désactivé, Désactivé 6.2.0
Les pods de cluster Kubernetes doivent utiliser uniquement un réseau hôte et une plage de ports approuvés Restreignez l’accès des pods au réseau hôte et à la plage de ports hôtes autorisés dans un cluster Kubernetes. Cette recommandation fait partie du CIS 5.2.4, qui vise à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. audit, Audit, refus, Refus, désactivé, Désactivé 6.2.0
Les services de cluster Kubernetes doivent écouter uniquement sur les ports autorisés Limitez l’écoute des services aux ports autorisés pour sécuriser l’accès au cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. audit, Audit, refus, Refus, désactivé, Désactivé 8.2.0
Le cluster Kubernetes ne doit pas autoriser les conteneurs privilégiés Ne pas autoriser pas la création de conteneurs privilégiés dans un cluster Kubernetes. Cette recommandation fait partie du CIS 5.2.1, qui vise à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. audit, Audit, refus, Refus, désactivé, Désactivé 9.2.0
Les clusters Kubernetes doivent désactiver le montage automatique des informations d’identification d’API Désactivez le montage automatique des informations d’identification d’API pour empêcher une ressource Pod potentiellement compromise d’exécuter des commandes d’API sur des clusters Kubernetes. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. audit, Audit, refus, Refus, désactivé, Désactivé 4.2.0
Les clusters Kubernetes ne doivent pas autoriser la réaffectation de privilèges de conteneur N’autorisez pas les conteneurs à s’exécuter avec une élévation des privilèges vers la racine dans un cluster Kubernetes. Cette recommandation fait partie du CIS 5.2.5, qui vise à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. audit, Audit, refus, Refus, désactivé, Désactivé 7.2.0
Les clusters Kubernetes ne doivent pas accorder de fonctionnalités de sécurité CAP_SYS_ADMIN Pour réduire la surface d’attaque de vos conteneurs, limitez les fonctionnalités Linux CAP_SYS_ADMIN. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. audit, Audit, refus, Refus, désactivé, Désactivé 5.1.0
Les clusters Kubernetes ne doivent pas utiliser l’espace de noms par défaut Empêchez l’utilisation de l’espace de noms par défaut dans les clusters Kubernetes pour éviter tout accès non autorisé aux types de ressources ConfigMap, Pod, Secret, Service et ServiceAccount. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. audit, Audit, refus, Refus, désactivé, Désactivé 4.2.0
Les machines Linux doivent répondre aux exigences de la base de référence de sécurité Azure Compute Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si elles ne sont pas configurées correctement par rapport aux différentes recommandations de la base de référence de sécurité d’Azure Compute. AuditIfNotExists, Désactivé 2.2.0
Gérer les passerelles CMA_0363 – Gérer les passerelles Manuel, désactivé 1.1.0
Seules les extensions de machine virtuelle approuvées doivent être installées Cette stratégie régit les extensions de machine virtuelle qui ne sont pas approuvées. Audit, Refuser, Désactivé 1.0.0
Effectuer une analyse des tendances sur les menaces CMA_0389 – Effectuer une analyse des tendances sur les menaces Manuel, désactivé 1.1.0
Effectuer des analyses de vulnérabilité CMA_0393 – Effectuer des analyses de vulnérabilité Manuel, désactivé 1.1.0
Examiner le rapport hebdomadaire sur les détections de programmes malveillants CMA_0475 – Examiner le rapport hebdomadaire sur les détections de programmes malveillants Manuel, désactivé 1.1.0
Passer en revue l’état de la protection contre les menaces chaque semaine CMA_0479 – Passer en revue l’état de la protection contre les menaces chaque semaine Manuel, désactivé 1.1.0
Les comptes de stockage doivent autoriser l’accès à partir des services Microsoft approuvés Certains services Microsoft qui interagissent avec les comptes de stockage fonctionnent à partir de réseaux qui ne peuvent pas obtenir l’accès par le biais des règles de réseau. Pour que ce type de service fonctionne comme prévu, autorisez l’ensemble des services Microsoft approuvés à contourner les règles de réseau. Ces services utilisent alors une authentification forte pour accéder au compte de stockage. Audit, Refuser, Désactivé 1.0.0
Mettre à jour les définitions de l’antivirus CMA_0517 – Mettre à jour les définitions de l’antivirus Manuel, désactivé 1.1.0
Vérifier l’intégrité des logiciels, des microprogrammes et des informations CMA_0542 – Vérifier l’intégrité des logiciels, des microprogrammes et des informations Manuel, désactivé 1.1.0
Visualiser et configurer les données de diagnostic système CMA_0544 - Visualiser et configurer les données de diagnostic système Manuel, désactivé 1.1.0
L’extension Guest Configuration des machines virtuelles doit être déployée avec une identité managée attribuée par le système L’extension Guest Configuration requiert une identité managée affectée par le système. Les machines virtuelles Azure se trouvant dans l’étendue de cette stratégie ne sont pas conformes quand elles disposent de l’extension Guest Configuration mais qu’elles n’ont pas d’identité managée affectée par le système. Pour en savoir plus, voir https://aka.ms/gcpol AuditIfNotExists, Désactivé 1.0.1
Les machines Windows doivent répondre aux exigences de la base de référence de sécurité Azure Compute Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si elles ne sont pas configurées correctement par rapport aux différentes recommandations de la base de référence de sécurité d’Azure Compute. AuditIfNotExists, Désactivé 2.0.0

Opérations du système

Détection et analyse des nouvelles vulnérabilités

ID : SOC 2 Type 2 CC7.1 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Une solution d’évaluation des vulnérabilités doit être activée sur vos machines virtuelles Audite les machines virtuelles pour détecter si elles exécutent une solution d’évaluation des vulnérabilités prise en charge. L’identification et l’analyse des vulnérabilités constituent un composant fondamental de chaque programme de sécurité et d’évaluation des cyber-risques. Le niveau tarifaire Standard d’Azure Security Center comprend l’analyse des vulnérabilités de vos machines virtuelles sans coût supplémentaire. De plus, Security Center peut déployer cet outil automatiquement pour vous. AuditIfNotExists, Désactivé 3.0.0
Configurer des actions pour les appareils non conformes CMA_0062 – Configurer des actions pour les appareils non conformes Manuel, désactivé 1.1.0
Développer et tenir à jour les configurations de base CMA_0153 – Développer et tenir à jour les configurations de base Manuel, désactivé 1.1.0
Activer la détection des périphériques réseau CMA_0220 - Activer la détection des périphériques réseau Manuel, désactivé 1.1.0
Appliquer les paramètres de configuration de sécurité CMA_0249 – Appliquer les paramètres de configuration de sécurité Manuel, désactivé 1.1.0
Établir un panneau de configuration CMA_0254 – Établir un panneau de configuration Manuel, désactivé 1.1.0
Établir et documenter un plan de gestion de la configuration CMA_0264 – Établir et documenter un plan de gestion de la configuration Manuel, désactivé 1.1.0
Implémenter un outil de gestion de la configuration automatisée CMA_0311 – Implémenter un outil de gestion de la configuration automatisée Manuel, désactivé 1.1.0
Effectuer des analyses de vulnérabilité CMA_0393 – Effectuer des analyses de vulnérabilité Manuel, désactivé 1.1.0
Corriger les défauts du système d’information CMA_0427 – Corriger les défauts du système d’information Manuel, désactivé 1.1.0
Définir des notifications automatisées pour les applications cloud nouvelles et populaires dans votre organisation CMA_0495 – Définir des notifications automatisées pour les applications cloud nouvelles et populaires dans votre organisation Manuel, désactivé 1.1.0
Vérifier l’intégrité des logiciels, des microprogrammes et des informations CMA_0542 – Vérifier l’intégrité des logiciels, des microprogrammes et des informations Manuel, désactivé 1.1.0
Visualiser et configurer les données de diagnostic système CMA_0544 - Visualiser et configurer les données de diagnostic système Manuel, désactivé 1.1.0
L’évaluation des vulnérabilités doit être activée sur SQL Managed Instance Auditez chaque instance managée SQL qui n’a pas d’analyses récurrentes d’évaluation des vulnérabilités activées. L’évaluation des vulnérabilités peut découvrir et suivre les potentielles vulnérabilités de base de données, et vous aider à y remédier. AuditIfNotExists, Désactivé 1.0.1
L’évaluation des vulnérabilités doit être activée sur vos serveurs SQL Auditer les serveurs Azure SQL pour lesquels l’évaluation des vulnérabilités n’est pas correctement configurée. L’évaluation des vulnérabilités peut découvrir et suivre les potentielles vulnérabilités de base de données, et vous aider à y remédier. AuditIfNotExists, Désactivé 3.0.0

Surveiller les composants du système pour détecter tout comportement anormal

ID : SOC 2 Type 2 CC7.2 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
[Préversion] : l’extension Microsoft Defender pour le cloud doit être installée sur les clusters Kubernetes avec Azure Arc L’extension Microsoft Defender pour le cloud pour Azure Arc fournit une protection contre les menaces à vos clusters Kubernetes compatibles avec Arc. L’extension collecte les données de tous les nœuds du cluster et les envoie au back-end Azure Defender pour Kubernetes dans le cloud pour une analyse plus approfondie. En savoir plus sur https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, Désactivé 6.0.0-preview
Une alerte de journal d’activité doit exister pour des opérations d’administration spécifiques Cette stratégie audite des opérations d’administration spécifiques sans aucune alerte de journal d’activité configurée. AuditIfNotExists, Désactivé 1.0.0
Une alerte de journal d’activité doit exister pour des opérations de stratégie spécifiques Cette stratégie audite toute opération de stratégie spécifique sans aucune alerte de journal d’activité configurée. AuditIfNotExists, Désactivé 3.0.0
Une alerte de journal d’activité doit exister pour des opérations de sécurité spécifiques Cette stratégie audite des opérations de sécurité spécifiques sans aucune alerte de journal d’activité configurée. AuditIfNotExists, Désactivé 1.0.0
Azure Defender pour App Service doit être activé Azure Defender pour App Service tire parti de l’envergure du cloud et de la visibilité dont Azure bénéficie en tant que fournisseur de cloud pour superviser les attaques d’applications web courantes. AuditIfNotExists, Désactivé 1.0.3
Azure Defender pour les serveurs Azure SQL Database doit être activé Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. AuditIfNotExists, Désactivé 1.0.2
Azure Defender pour Key Vault doit être activé Azure Defender pour Key Vault fournit une couche de protection supplémentaire et une veille de sécurité qui détecte les tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des comptes Key Vault. AuditIfNotExists, Désactivé 1.0.3
Azure Defender pour les bases de données relationnelles open source doit être activé Azure Defender pour les bases de données relationnelles détecte les activités anormales indiquant des tentatives d’accès ou d’exploitation inhabituelles et potentiellement dangereuses des bases de données. En savoir plus sur les fonctionnalités d’Azure Defender pour les bases de données relationnelles open source sur https://aka.ms/AzDforOpenSourceDBsDocu. Important : L’activation de ce plan entraînera des frais pour la protection de vos bases de données relationnelles open source. Découvrir les prix dans la page de tarification de Security Center : https://aka.ms/pricing-security-center AuditIfNotExists, Désactivé 1.0.0
Azure Defender pour Resource Manager doit être activé Azure Defender pour Ressource Manager supervise automatiquement toutes les opérations de gestion de ressources dans votre organisation. Azure Defender détecte les menaces et vous alerte sur les activités suspectes. Découvrez-en plus sur les fonctionnalités d’Azure Defender pour Resource Manager sur https://aka.ms/defender-for-resource-manager. L’activation de ce plan Azure Defender entraîne des frais. Découvrez-en plus sur les détails de tarification par région sur la page de tarification de Security Center : https://aka.ms/pricing-security-center. AuditIfNotExists, Désactivé 1.0.0
Azure Defender pour les serveurs doit être activé Azure Defender pour les serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs, et génère des recommandations de durcissement, ainsi que des alertes sur les activités suspectes. AuditIfNotExists, Désactivé 1.0.3
Azure Defender pour les serveurs SQL sur les machines doit être activé Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. AuditIfNotExists, Désactivé 1.0.2
Vous devez activer Azure Defender pour SQL pour les serveurs Azure SQL non protégés Auditer les serveurs SQL sans Advanced Data Security AuditIfNotExists, Désactivé 2.0.1
Vous devez activer Azure Defender pour SQL pour les instances SQL Managed Instance non protégées Auditez chaque instance managée SQL sans Advanced Data Security. AuditIfNotExists, Désactivé 1.0.2
Le profil Defender doit être activé sur les clusters Azure Kubernetes Service Microsoft Defender pour Containers offre plusieurs fonctionnalités de sécurité Kubernetes cloud natives, dont le renforcement de l’environnement, la protection de la charge de travail et la protection à l’exécution. Quand vous activez SecurityProfile.AzureDefender sur votre cluster Azure Kubernetes Service, un agent est déployé sur votre cluster pour collecter les données d’événement de sécurité. Apprenez-en davantage sur Microsoft Defender pour Containers dans https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks Audit, Désactivé 2.0.1
Détecter les services réseau qui n’ont pas été autorisés ou approuvés CMA_C1700 – Détecter les services réseau qui n’ont pas été autorisés ou approuvés Manuel, désactivé 1.1.0
Régir et surveiller les activités de traitement d’audit CMA_0289 – Régir et surveiller les activités de traitement d’audit Manuel, désactivé 1.1.0
Microsoft Defender pour les conteneurs doit être activé Microsoft Defender pour les conteneurs fournit des protections renforcées, d’évaluation des vulnérabilités et d’exécution pour vos environnements Kubernetes Azure, hybrides et multiclouds. AuditIfNotExists, Désactivé 1.0.0
Microsoft Defender pour le stockage doit être activé Microsoft Defender pour le stockage détecte les menaces potentielles pour vos comptes de stockage. Il permet d’éviter les trois impacts majeurs sur vos données et votre charge de travail : les chargements de fichiers malveillants, l’exfiltration de données sensibles et l’altération des données. Le nouveau plan Defender pour le stockage inclut l’analyse des programmes malveillants et la détection des menaces de données sensibles. Ce plan fournit également une structure tarifaire prévisible (par compte de stockage) pour contrôler la couverture et les coûts. AuditIfNotExists, Désactivé 1.0.0
Effectuer une analyse des tendances sur les menaces CMA_0389 – Effectuer une analyse des tendances sur les menaces Manuel, désactivé 1.1.0
Windows Defender Exploit Guard doit être activé sur vos machines Windows Defender Exploit Guard utilise l’agent de configuration d’invité Azure Policy. Windows Defender Exploit Guard compte quatre composants conçus pour verrouiller les appareils afin de les protéger contre un vaste éventail de vecteurs d’attaque et comportements de blocage couramment utilisés par les programmes malveillants, tout en permettant aux entreprises de trouver un juste équilibre entre sécurité et productivité (Windows uniquement). AuditIfNotExists, Désactivé 2.0.0

Détection des incidents de sécurité

ID : SOC 2 Type 2 CC7.3 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Passer en revue et mettre à jour les stratégies et les procédures de réponse aux incidents CMA_C1352 - Passer en revue et mettre à jour les stratégies et les procédures de réponse aux incidents Manuel, désactivé 1.1.0

Réponse aux incidents de sécurité

ID : SOC 2 Type 2 CC7.4 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Évaluer les événements de sécurité des informations CMA_0013 - Évaluer les événements de sécurité des informations Manuel, désactivé 1.1.0
Coordonner les plans d’urgence avec les plans associés CMA_0086 - Coordonner les plans d’urgence avec les plans associés Manuel, désactivé 1.1.0
Mettez sur pied un plan de réponse en cas d'incident CMA_0145 – Développer un plan de réponse aux incidents Manuel, désactivé 1.1.0
Développer des protections de sécurité CMA_0161 - Développer des protections de sécurité Manuel, désactivé 1.1.0
La notification par e-mail pour les alertes à gravité élevée doit être activée Pour informer les personnes concernées de votre organisation d’une violation de sécurité potentielle dans l’un de vos abonnements, activez les notifications par e-mail pour les alertes à gravité élevée dans Security Center. AuditIfNotExists, Désactivé 1.2.0
La notification par e-mail au propriétaire de l’abonnement pour les alertes à gravité élevée doit être activée Pour informer les propriétaires d’abonnement d’une violation de sécurité potentielle dans leur abonnement, activez l’envoi de notifications par e-mail à ces propriétaires pour les alertes à gravité élevée dans Security Center. AuditIfNotExists, Désactivé 2.1.0
Activer la protection du réseau CMA_0238 - Activer la protection réseau Manuel, désactivé 1.1.0
Éradiquer les informations contaminées CMA_0253 - Éradiquer les informations contaminées Manuel, désactivé 1.1.0
Exécuter des actions en réponse à des fuites d’informations CMA_0281 - Exécuter des actions en réponse à des fuites d’informations Manuel, désactivé 1.1.0
Identifier les classes d’incidents et d’actions prises CMA_C1365 - Identifier les classes d’incidents et d’actions effectuées Manuel, désactivé 1.1.0
Implémenter une gestion des incidents CMA_0318 - Implémenter une gestion des incidents Manuel, désactivé 1.1.0
Inclure la reconfiguration dynamique des ressources déployées par le client CMA_C1364 – Inclure la reconfiguration dynamique des ressources déployées par le client Manuel, désactivé 1.1.0
Gérer le plan de réponse aux incidents CMA_0352 - Gérer le plan de réponse aux incidents Manuel, désactivé 1.1.0
Network Watcher doit être activé Network Watcher est un service régional qui vous permet de surveiller et de diagnostiquer l’état au niveau d’un scénario réseau dans, vers et depuis Azure. La surveillance au niveau des scénarios vous permet de diagnostiquer les problèmes avec une vue de bout en bout du réseau. Vous devez créer un groupe de ressources Network Watcher dans chaque région où un réseau virtuel est présent. Une alerte est activée dans le cas où aucun groupe de ressources Network Watcher n’est disponible dans une région donnée. AuditIfNotExists, Désactivé 3.0.0
Effectuer une analyse des tendances sur les menaces CMA_0389 – Effectuer une analyse des tendances sur les menaces Manuel, désactivé 1.1.0
Les abonnements doivent avoir l’adresse e-mail d’un contact pour le signalement des problèmes de sécurité Pour informer les personnes concernées de votre organisation d’une violation de sécurité potentielle dans l’un de vos abonnements, définissez un contact de sécurité qui recevra des notifications par e-mail dans Security Center. AuditIfNotExists, Désactivé 1.0.1
Visualiser et examiner les utilisateurs restreints CMA_0545 - Visualiser et examiner les utilisateurs restreints Manuel, désactivé 1.1.0

Récupération après des cas d’incidents de sécurité identifiés

ID : SOC 2 Type 2 CC7.5 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Évaluer les événements de sécurité des informations CMA_0013 - Évaluer les événements de sécurité des informations Manuel, désactivé 1.1.0
Effectuer des tests de réponse aux incidents CMA_0060 – Mener des tests de réponse aux incidents Manuel, désactivé 1.1.0
Coordonner les plans d’urgence avec les plans associés CMA_0086 - Coordonner les plans d’urgence avec les plans associés Manuel, désactivé 1.1.0
Coordonner avec des organisations externes pour atteindre une perspective inter-organisations CMA_C1368 – Coordonner avec des organisations externes pour atteindre la perspective inter-organisations Manuel, désactivé 1.1.0
Mettez sur pied un plan de réponse en cas d'incident CMA_0145 – Développer un plan de réponse aux incidents Manuel, désactivé 1.1.0
Développer des protections de sécurité CMA_0161 - Développer des protections de sécurité Manuel, désactivé 1.1.0
La notification par e-mail pour les alertes à gravité élevée doit être activée Pour informer les personnes concernées de votre organisation d’une violation de sécurité potentielle dans l’un de vos abonnements, activez les notifications par e-mail pour les alertes à gravité élevée dans Security Center. AuditIfNotExists, Désactivé 1.2.0
La notification par e-mail au propriétaire de l’abonnement pour les alertes à gravité élevée doit être activée Pour informer les propriétaires d’abonnement d’une violation de sécurité potentielle dans leur abonnement, activez l’envoi de notifications par e-mail à ces propriétaires pour les alertes à gravité élevée dans Security Center. AuditIfNotExists, Désactivé 2.1.0
Activer la protection du réseau CMA_0238 - Activer la protection réseau Manuel, désactivé 1.1.0
Éradiquer les informations contaminées CMA_0253 - Éradiquer les informations contaminées Manuel, désactivé 1.1.0
Établir un programme de sécurité des informations CMA_0263 - Établir un programme de sécurité des informations Manuel, désactivé 1.1.0
Exécuter des actions en réponse à des fuites d’informations CMA_0281 - Exécuter des actions en réponse à des fuites d’informations Manuel, désactivé 1.1.0
Implémenter une gestion des incidents CMA_0318 - Implémenter une gestion des incidents Manuel, désactivé 1.1.0
Gérer le plan de réponse aux incidents CMA_0352 - Gérer le plan de réponse aux incidents Manuel, désactivé 1.1.0
Network Watcher doit être activé Network Watcher est un service régional qui vous permet de surveiller et de diagnostiquer l’état au niveau d’un scénario réseau dans, vers et depuis Azure. La surveillance au niveau des scénarios vous permet de diagnostiquer les problèmes avec une vue de bout en bout du réseau. Vous devez créer un groupe de ressources Network Watcher dans chaque région où un réseau virtuel est présent. Une alerte est activée dans le cas où aucun groupe de ressources Network Watcher n’est disponible dans une région donnée. AuditIfNotExists, Désactivé 3.0.0
Effectuer une analyse des tendances sur les menaces CMA_0389 – Effectuer une analyse des tendances sur les menaces Manuel, désactivé 1.1.0
Exécuter des attaques de simulation CMA_0486 – Exécuter des attaques de simulation Manuel, désactivé 1.1.0
Les abonnements doivent avoir l’adresse e-mail d’un contact pour le signalement des problèmes de sécurité Pour informer les personnes concernées de votre organisation d’une violation de sécurité potentielle dans l’un de vos abonnements, définissez un contact de sécurité qui recevra des notifications par e-mail dans Security Center. AuditIfNotExists, Désactivé 1.0.1
Visualiser et examiner les utilisateurs restreints CMA_0545 - Visualiser et examiner les utilisateurs restreints Manuel, désactivé 1.1.0

Gestion des changements

Modifications apportées à l’infrastructure, aux données et aux logiciels

ID : SOC 2 Type 2 CC8.1 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
[Déconseillé] L’option « Certificats clients (certificats clients entrants) » doit être activée sur les applications de fonction Les certificats clients permettent à l’application de demander un certificat pour les demandes entrantes. Seuls les clients disposant de certificats valides peuvent accéder à l’application. Cette stratégie a été remplacée par une nouvelle stratégie portant le même nom, car HTTP 2.0 ne prend pas en charge les certificats clients. Audit, Désactivé 3.1.0-deprecated
[Préversion] : L’extension Attestation d’invité doit être installée sur les machines virtuelles Linux prises en charge Installez l’extension Attestation d’invité sur les machines virtuelles Linux prises en charge afin de permettre à Azure Security Center d’attester et de superviser de manière proactive l’intégrité du démarrage. Une fois l’installation terminée, l’intégrité du démarrage est attestée par le biais d’une attestation à distance. Cette évaluation s’applique aux machines virtuelles Linux confidentielles et avec lancement fiable. AuditIfNotExists, Désactivé 6.0.0-preview
[Préversion] : L’extension Attestation d’invité doit être installée sur les groupes de machines virtuelles identiques Linux prises en charge Installez l’extension Attestation d’invité sur les groupes de machines virtuelles identiques Linux prises en charge afin de permettre à Azure Security Center d’attester et de superviser de manière proactive l’intégrité du démarrage. Une fois l’installation terminée, l’intégrité du démarrage est attestée par le biais d’une attestation à distance. Cette évaluation s’applique aux groupes de machines virtuelles identiques Linux confidentielles et avec lancement fiable. AuditIfNotExists, Désactivé 5.1.0-preview
[Préversion] : L’extension Attestation d’invité doit être installée sur les machines virtuelles Windows prises en charge Installez l’extension Attestation d’invité sur les machines virtuelles prises en charge afin de permettre à Azure Security Center d’attester et de superviser de manière proactive l’intégrité du démarrage. Une fois l’installation terminée, l’intégrité du démarrage est attestée par le biais d’une attestation à distance. Cette évaluation s’applique aux machines virtuelles Windows confidentielles et avec lancement fiable. AuditIfNotExists, Désactivé 4.0.0-preview
[Préversion] : L’extension Attestation d’invité doit être installée sur les groupes de machines virtuelles identiques Windows prises en charge Installez l’extension Attestation d’invité sur les groupes de machines virtuelles identiques prises en charge afin de permettre à Azure Security Center d’attester et de superviser de manière proactive l’intégrité du démarrage. Une fois l’installation terminée, l’intégrité du démarrage est attestée par le biais d’une attestation à distance. Cette évaluation s’applique aux groupes de machines virtuelles identiques Windows confidentielles et avec lancement fiable. AuditIfNotExists, Désactivé 3.1.0-preview
[Préversion] : Le démarrage sécurisé doit être activé sur les machines virtuelles Windows prises en charge Activez le démarrage sécurisé sur les machines virtuelles Windows prises en charge pour réduire les changements malveillants et non autorisés de la chaîne de démarrage. Une fois le démarrage sécurisé activé, seuls les chargeurs de démarrage, noyaux et pilotes de noyau approuvés sont autorisés à s’exécuter. Cette évaluation s’applique aux machines virtuelles Windows confidentielles et avec lancement fiable. Audit, Désactivé 4.0.0-preview
[Préversion] : vTPM doit être activé sur les machines virtuelles prises en charge Activez l’appareil module de plateforme sécurisée (TPM) virtuel sur les machines virtuelles prises en charge pour faciliter le démarrage mesuré et d’autres fonctionnalités de sécurité du système d’exploitation qui nécessitent un TPM. Une fois l’appareil vTPM activé, il permet d’attester l’intégrité du démarrage. Cette évaluation s’applique uniquement aux machines virtuelles pour lesquelles le lancement fiable est activé. Audit, Désactivé 2.0.0-preview
L’option « Certificats clients (certificats clients entrants) » doit être activée sur les applications App service Les certificats clients permettent à l’application de demander un certificat pour les demandes entrantes. Seuls les clients disposant d’un certificat valide peuvent accéder à l’application. Cette stratégie s’applique aux applications avec la version HTTP définie sur 1.1. AuditIfNotExists, Désactivé 1.0.0
Le débogage à distance doit être désactivé pour les applications App Service Le débogage distant nécessite que des ports d’entrée soient ouverts sur une application App Service. Le débogage à distance doit être désactivé. AuditIfNotExists, Désactivé 2.0.0
Les applications App Service ne doivent pas avoir de CORS configuré pour permettre à toutes les ressources d'accéder à vos applications Le partage des ressources cross-origin (CORS) ne doit pas autoriser tous les domaines à accéder à votre application. Autorisez uniquement les domaines requis à interagir avec votre application. AuditIfNotExists, Désactivé 2.0.0
Les applications App Service doivent utiliser la dernière « version HTTP » Régulièrement, de nouvelles versions sont publiées pour HTTP, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. L’utilisation de la version de HTTP la plus récente est recommandée pour les applications web afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. AuditIfNotExists, Désactivé 4.0.0
Faire l’audit des machines virtuelles n’utilisant aucun disque managé Cette stratégie fait l’audit des machines virtuelles n’utilisant pas de disque managé audit 1.0.0
L’extension Azure Policy doit être installée sur les clusters Kubernetes avec Azure Arc L'extension Azure Policy pour Azure Arc fournit des mesures d'application et de protection à grande échelle sur vos clusters Kubernetes compatibles avec Arc, de manière centralisée et cohérente. Pour en savoir plus, rendez-vous sur https://aka.ms/akspolicydoc. AuditIfNotExists, Désactivé 1.1.0
L’extension Azure Policy pour Azure Kubernetes Service (AKS) doit être installée et activée sur vos clusters L’extension Azure Policy pour Azure Kubernetes Service (AKS) étend Gatekeeper v3, webhook de contrôleur d’admission pour Open Policy Agent (OPA), afin d’appliquer des mesures et des protections à grande échelle sur vos clusters de manière centralisée et cohérente. Audit, Désactivé 1.0.2
Effectuer une analyse d’impact sur la sécurité CMA_0057 - Effectuer une analyse d’impact sur la sécurité Manuel, désactivé 1.1.0
Configurer des actions pour les appareils non conformes CMA_0062 – Configurer des actions pour les appareils non conformes Manuel, désactivé 1.1.0
Développer et gérer un standard de gestion des vulnérabilités CMA_0152 - Développer et gérer un standard de gestion des vulnérabilités Manuel, désactivé 1.1.0
Développer et tenir à jour les configurations de base CMA_0153 – Développer et tenir à jour les configurations de base Manuel, désactivé 1.1.0
Appliquer les paramètres de configuration de sécurité CMA_0249 – Appliquer les paramètres de configuration de sécurité Manuel, désactivé 1.1.0
Établir un panneau de configuration CMA_0254 – Établir un panneau de configuration Manuel, désactivé 1.1.0
Établir une stratégie de gestion des risques CMA_0258 - Établir une stratégie de gestion des risques Manuel, désactivé 1.1.0
Établir et documenter un plan de gestion de la configuration CMA_0264 – Établir et documenter un plan de gestion de la configuration Manuel, désactivé 1.1.0
Établir et documenter les processus de contrôle des modifications CMA_0265 – Établir et documenter les processus de contrôle des modifications Manuel, désactivé 1.1.0
Établir des exigences de gestion de configuration pour les développeurs CMA_0270 - Établir des exigences de gestion de configuration pour les développeurs Manuel, désactivé 1.1.0
Le débogage à distance doit être désactivé pour les applications de fonctions Le débogage distant nécessite que des ports d’entrée soient ouverts sur les applications de fonction. Le débogage à distance doit être désactivé. AuditIfNotExists, Désactivé 2.0.0
Les applications de fonctions ne doivent pas avoir de CORS configuré pour permettre à toutes les ressources d'accéder à vos applications Le mécanisme CORS (Cross-Origin Resource Sharing) ne devrait pas autoriser tous les domaines à accéder à votre application de fonction. Autorisez uniquement les domaines nécessaires à interagir avec votre application de fonction. AuditIfNotExists, Désactivé 2.0.0
Les applications de fonctions doivent utiliser la dernière « version HTTP » Régulièrement, de nouvelles versions sont publiées pour HTTP, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. L’utilisation de la version de HTTP la plus récente est recommandée pour les applications web afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. AuditIfNotExists, Désactivé 4.0.0
L’extension Guest Configuration doit être installée sur vos machines Pour garantir des configurations sécurisées des paramètres dans l’invité de votre machine, installez l’extension Guest Configuration. Parmi les paramètres dans l’invité qui sont supervisés par l’extension figurent la configuration du système d’exploitation, la présence ou la configuration de l’application et les paramètres d’environnement. Une fois l’installation terminée, les stratégies dans l’invité seront disponibles, par exemple « Windows Exploit Guard doit être activé ». Pour en savoir plus, rendez-vous sur https://aka.ms/gcpol. AuditIfNotExists, Désactivé 1.0.3
Implémenter un outil de gestion de la configuration automatisée CMA_0311 – Implémenter un outil de gestion de la configuration automatisée Manuel, désactivé 1.1.0
Les limites de ressources processeur et de mémoire des conteneurs de clusters Kubernetes ne doivent pas dépasser les limites spécifiées Appliquez des limites de ressources processeur et de mémoire au conteneur pour empêcher les attaques d’épuisement des ressources dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. audit, Audit, refus, Refus, désactivé, Désactivé 9.3.0
Les conteneurs de cluster Kubernetes ne doivent pas partager l’espace de noms de l’ID de processus hôte ou l’espace de noms IPC hôte Empêche les conteneurs de pod de partager l’espace de noms de l’ID de processus hôte et l’espace de noms IPC hôte dans un cluster Kubernetes. Cette recommandation fait partie du CIS 5.2.2 et du CIS 5.2.3, qui visent à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. audit, Audit, refus, Refus, désactivé, Désactivé 5.2.0
Les conteneurs de cluster Kubernetes doivent utiliser uniquement des profils AppArmor autorisés Les conteneurs de clusters Kubernetes doivent utiliser uniquement des profils AppArmor autorisés. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. audit, Audit, refus, Refus, désactivé, Désactivé 6.2.0
Les conteneurs de cluster Kubernetes doivent utiliser uniquement des fonctionnalités autorisées Limitez les fonctionnalités afin de réduire la surface d’attaque des conteneurs dans un cluster Kubernetes. Cette recommandation fait partie du CIS 5.2.8 et du CIS 5.2.9, qui visent à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. audit, Audit, refus, Refus, désactivé, Désactivé 6.2.0
Les conteneurs de cluster Kubernetes doivent utiliser uniquement des fonctionnalités autorisées Utilisez des images provenant de registres approuvés pour réduire le risque d’exposition du cluster Kubernetes aux vulnérabilités inconnues, aux problèmes de sécurité et aux images malveillantes. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. audit, Audit, refus, Refus, désactivé, Désactivé 9.3.0
Les conteneurs de cluster Kubernetes doivent s’exécuter avec un système de fichiers racine en lecture seule Exécutez des conteneurs avec un système de fichiers racine en lecture seule pour le protéger contre les modifications au moment de l’exécution avec des fichiers binaires malveillants ajoutés au chemin d’accès dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. audit, Audit, refus, Refus, désactivé, Désactivé 6.3.0
Les volumes hostPath de pod de cluster Kubernetes doivent utiliser uniquement des chemins d’hôte autorisés Limitez les montages de volume HostPath sur le pod aux chemins d’accès hôtes autorisés dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS) et pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. audit, Audit, refus, Refus, désactivé, Désactivé 6.2.0
Les pods et les conteneurs de cluster Kubernetes doivent être exécutés uniquement avec des ID d’utilisateur et de groupe approuvés Contrôle les ID d’utilisateur, de groupe principal, de groupe supplémentaire et de groupe de systèmes de fichiers que les pods et les conteneurs peuvent utiliser pour s’exécuter dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. audit, Audit, refus, Refus, désactivé, Désactivé 6.2.0
Les pods de cluster Kubernetes doivent utiliser uniquement un réseau hôte et une plage de ports approuvés Restreignez l’accès des pods au réseau hôte et à la plage de ports hôtes autorisés dans un cluster Kubernetes. Cette recommandation fait partie du CIS 5.2.4, qui vise à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. audit, Audit, refus, Refus, désactivé, Désactivé 6.2.0
Les services de cluster Kubernetes doivent écouter uniquement sur les ports autorisés Limitez l’écoute des services aux ports autorisés pour sécuriser l’accès au cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. audit, Audit, refus, Refus, désactivé, Désactivé 8.2.0
Le cluster Kubernetes ne doit pas autoriser les conteneurs privilégiés Ne pas autoriser pas la création de conteneurs privilégiés dans un cluster Kubernetes. Cette recommandation fait partie du CIS 5.2.1, qui vise à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. audit, Audit, refus, Refus, désactivé, Désactivé 9.2.0
Les clusters Kubernetes doivent désactiver le montage automatique des informations d’identification d’API Désactivez le montage automatique des informations d’identification d’API pour empêcher une ressource Pod potentiellement compromise d’exécuter des commandes d’API sur des clusters Kubernetes. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. audit, Audit, refus, Refus, désactivé, Désactivé 4.2.0
Les clusters Kubernetes ne doivent pas autoriser la réaffectation de privilèges de conteneur N’autorisez pas les conteneurs à s’exécuter avec une élévation des privilèges vers la racine dans un cluster Kubernetes. Cette recommandation fait partie du CIS 5.2.5, qui vise à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. audit, Audit, refus, Refus, désactivé, Désactivé 7.2.0
Les clusters Kubernetes ne doivent pas accorder de fonctionnalités de sécurité CAP_SYS_ADMIN Pour réduire la surface d’attaque de vos conteneurs, limitez les fonctionnalités Linux CAP_SYS_ADMIN. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. audit, Audit, refus, Refus, désactivé, Désactivé 5.1.0
Les clusters Kubernetes ne doivent pas utiliser l’espace de noms par défaut Empêchez l’utilisation de l’espace de noms par défaut dans les clusters Kubernetes pour éviter tout accès non autorisé aux types de ressources ConfigMap, Pod, Secret, Service et ServiceAccount. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. audit, Audit, refus, Refus, désactivé, Désactivé 4.2.0
Les machines Linux doivent répondre aux exigences de la base de référence de sécurité Azure Compute Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si elles ne sont pas configurées correctement par rapport aux différentes recommandations de la base de référence de sécurité d’Azure Compute. AuditIfNotExists, Désactivé 2.2.0
Seules les extensions de machine virtuelle approuvées doivent être installées Cette stratégie régit les extensions de machine virtuelle qui ne sont pas approuvées. Audit, Refuser, Désactivé 1.0.0
Effectuer une évaluation de l’impact sur la confidentialité CMA_0387 - Effectuer une évaluation de l’impact sur la confidentialité Manuel, désactivé 1.1.0
Effectuer une évaluation des risques CMA_0388 - Effectuer une évaluation des risques Manuel, désactivé 1.1.0
Effectuer un audit pour le contrôle des modifications de configuration CMA_0390 - Effectuer un audit pour le contrôle des modifications de configuration Manuel, désactivé 1.1.0
Les comptes de stockage doivent autoriser l’accès à partir des services Microsoft approuvés Certains services Microsoft qui interagissent avec les comptes de stockage fonctionnent à partir de réseaux qui ne peuvent pas obtenir l’accès par le biais des règles de réseau. Pour que ce type de service fonctionne comme prévu, autorisez l’ensemble des services Microsoft approuvés à contourner les règles de réseau. Ces services utilisent alors une authentification forte pour accéder au compte de stockage. Audit, Refuser, Désactivé 1.0.0
L’extension Guest Configuration des machines virtuelles doit être déployée avec une identité managée attribuée par le système L’extension Guest Configuration requiert une identité managée affectée par le système. Les machines virtuelles Azure se trouvant dans l’étendue de cette stratégie ne sont pas conformes quand elles disposent de l’extension Guest Configuration mais qu’elles n’ont pas d’identité managée affectée par le système. Pour en savoir plus, voir https://aka.ms/gcpol AuditIfNotExists, Désactivé 1.0.1
Les machines Windows doivent répondre aux exigences de la base de référence de sécurité Azure Compute Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si elles ne sont pas configurées correctement par rapport aux différentes recommandations de la base de référence de sécurité d’Azure Compute. AuditIfNotExists, Désactivé 2.0.0

Atténuation des risques

Activités d’atténuation des risques

ID : SOC 2 Type 2 CC9.1 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Déterminer les besoins en matière de protection des informations CMA_C1750 - Déterminer les besoins en matière de protection des informations Manuel, désactivé 1.1.0
Établir une stratégie de gestion des risques CMA_0258 - Établir une stratégie de gestion des risques Manuel, désactivé 1.1.0
Effectuer une évaluation des risques CMA_0388 - Effectuer une évaluation des risques Manuel, désactivé 1.1.0

Gestion des risques pour les fournisseurs et les partenaires commerciaux

ID : SOC 2 Type 2 CC9.2 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Évaluer les risques dans les relations avec les tiers CMA_0014 - Évaluer les risques dans les relations avec les tiers Manuel, désactivé 1.1.0
Définir les exigences pour la fourniture de biens et de services CMA_0126 - Définir les exigences pour la fourniture de biens et de services Manuel, désactivé 1.1.0
Définir les tâches des processeurs CMA_0127 - Définir les tâches des processeurs Manuel, désactivé 1.1.0
Déterminer les obligations des contrats fournisseur CMA_0140 - Déterminer les obligations des contrats fournisseur Manuel, désactivé 1.1.0
Documenter les critères d’acceptation des contrats d’acquisition CMA_0187 - Documenter les critères d’acceptation des contrats d’acquisition Manuel, désactivé 1.1.0
Documenter la protection des données personnelles dans les contrats d’acquisition CMA_0194 - Documenter la protection des données personnelles dans les contrats d’acquisition Manuel, désactivé 1.1.0
Documenter la protection des informations de sécurité dans les contrats d’acquisition CMA_0195 - Documenter la protection des informations de sécurité dans les contrats d’acquisition Manuel, désactivé 1.1.0
Documenter les exigences pour l’utilisation des données partagées dans les contrats CMA_0197 - Documenter les exigences pour l’utilisation des données partagées dans les contrats Manuel, désactivé 1.1.0
Documenter les exigences d’assurance de sécurité dans les contrats d’acquisition CMA_0199 - Documenter les exigences d’assurance de sécurité dans les contrats d’acquisition Manuel, désactivé 1.1.0
Documenter les exigences de documentation de sécurité dans les contrats d’acquisition CMA_0200 - Documenter les exigences de documentation de sécurité dans les contrats d’acquisition Manuel, désactivé 1.1.0
Documenter les exigences fonctionnelles de sécurité dans les contrats d’acquisition CMA_0201 - Documenter les exigences fonctionnelles de sécurité dans les contrats d’acquisition Manuel, désactivé 1.1.0
Documenter les exigences de niveau de sécurité dans les contrats d’acquisition CMA_0203 - Documenter les exigences de niveau de sécurité dans les contrats d’acquisition Manuel, désactivé 1.1.0
Documenter l’environnement du système d’information dans les contrats d’acquisition CMA_0205 - Documenter l’environnement du système d’information dans les contrats d’acquisition Manuel, désactivé 1.1.0
Documenter la protection des données des détenteurs de carte dans les contrats de tiers CMA_0207 - Documenter la protection des données des détenteurs de carte dans les contrats de tiers Manuel, désactivé 1.1.0
Établir des stratégies pour la gestion des risques liés à la chaîne d’approvisionnement CMA_0275 - Établir des stratégies pour la gestion des risques liés à la chaîne d’approvisionnement Manuel, désactivé 1.1.0
Établir les exigences de sécurité pour le personnel de tiers CMA_C1529 - Établir les exigences de sécurité pour le personnel de tiers Manuel, désactivé 1.1.0
Surveiller la conformité des fournisseurs tiers CMA_C1533 - Surveiller la conformité des fournisseurs tiers Manuel, désactivé 1.1.0
Enregistrer les divulgations d’informations personnelles à des tiers CMA_0422 - Enregistrer les divulgations d’informations personnelles à des tiers Manuel, désactivé 1.1.0
Exiger des fournisseurs tiers qu’ils se conforment aux stratégies et aux procédures de sécurité du personnel CMA_C1530 - Exiger des fournisseurs tiers qu’ils se conforment aux stratégies et aux procédures de sécurité du personnel Manuel, désactivé 1.1.0
Former le personnel sur le partage d’informations personnelles et ses conséquences CMA_C1871 - Former le personnel sur le partage d’informations personnelles et ses conséquences Manuel, désactivé 1.1.0

Critères supplémentaires de confidentialité

Avis de confidentialité

ID: SOC 2 Type 2 P1.1 Propriété: Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Documenter et distribuer une stratégie de confidentialité CMA_0188 - Documenter et distribuer une stratégie de confidentialité Manuel, désactivé 1.1.0
Vérifier que les informations du programme de confidentialité sont disponibles publiquement CMA_C1867 - Vérifier que les informations du programme de confidentialité sont disponibles publiquement Manuel, désactivé 1.1.0
Implémenter des méthodes de remise de déclaration de confidentialité CMA_0324 - Implémenter des méthodes de remise de déclaration de confidentialité Manuel, désactivé 1.1.0
Fournir une déclaration de confidentialité CMA_0414 - Fournir une déclaration de confidentialité Manuel, désactivé 1.1.0
Fournir un avis de confidentialité au public et aux individus CMA_C1861 - Fournir un avis de confidentialité au public et aux individus Manuel, désactivé 1.1.0

ID : SOC 2 Type 2 P2.1 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Documenter l’acceptation des exigences de confidentialité par le personnel CMA_0193 - Documenter l’acceptation des exigences de confidentialité par le personnel Manuel, désactivé 1.1.0
Implémenter des méthodes de remise de déclaration de confidentialité CMA_0324 - Implémenter des méthodes de remise de déclaration de confidentialité Manuel, désactivé 1.1.0
Obtenir le consentement avant la collecte ou le traitement des données personnelles CMA_0385 - Obtenir le consentement avant la collecte ou le traitement des données personnelles Manuel, désactivé 1.1.0
Fournir une déclaration de confidentialité CMA_0414 - Fournir une déclaration de confidentialité Manuel, désactivé 1.1.0

Regroupement systématique d’informations personnelles

ID : SOC 2 Type 2 P3.1 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Identifier l’autorité légale compétente en matière de collecte d’informations d’identification personnelle CMA_C1800 – Déterminer l’autorité juridique pour collecter les informations d’identification personnelle Manuel, désactivé 1.1.0
Documenter le processus pour garantir l’intégrité des informations d’identification personnelle CMA_C1827 - Documenter le processus pour garantir l’intégrité des informations d’identification personnelle Manuel, désactivé 1.1.0
Évaluer et examiner régulièrement les conservations d’informations personnelles CMA_C1832 - Évaluer et examiner régulièrement les conservations d’informations d’identification personnelle Manuel, désactivé 1.1.0
Obtenir le consentement avant la collecte ou le traitement des données personnelles CMA_0385 - Obtenir le consentement avant la collecte ou le traitement des données personnelles Manuel, désactivé 1.1.0

ID : SOC 2 Type 2 P3.2 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Collecter des informations d’identification personnelle directement auprès de l’individu CMA_C1822 – Collecter les informations d’identification personnelle directement auprès de l’individu Manuel, désactivé 1.1.0
Obtenir le consentement avant la collecte ou le traitement des données personnelles CMA_0385 - Obtenir le consentement avant la collecte ou le traitement des données personnelles Manuel, désactivé 1.1.0

Traitement des informations personnelles

ID : SOC 2 Type 2 P4.1 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Documenter la base légale pour le traitement des informations personnelles CMA_0206 - Documenter la base légale pour le traitement des données personnelles Manuel, désactivé 1.1.0
Implémenter des méthodes de remise de déclaration de confidentialité CMA_0324 - Implémenter des méthodes de remise de déclaration de confidentialité Manuel, désactivé 1.1.0
Obtenir le consentement avant la collecte ou le traitement des données personnelles CMA_0385 - Obtenir le consentement avant la collecte ou le traitement des données personnelles Manuel, désactivé 1.1.0
Fournir une déclaration de confidentialité CMA_0414 - Fournir une déclaration de confidentialité Manuel, désactivé 1.1.0
Restreindre les communications CMA_0449 - Restreindre les communications Manuel, désactivé 1.1.0

Rétention des informations personnelles

ID : SOC 2 Type 2 P4.2 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Respecter les périodes de rétention définies CMA_0004 – Respecter les périodes de rétention définies Manuel, désactivé 1.1.0
Documenter le processus pour garantir l’intégrité des informations d’identification personnelle CMA_C1827 - Documenter le processus pour garantir l’intégrité des informations d’identification personnelle Manuel, désactivé 1.1.0

Suppression des informations personnelles

ID : SOC 2 Type 2 P4.3 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Effectuer une révision avant destruction CMA_0391 - Effectuer une révision avant destruction Manuel, désactivé 1.1.0
Vérifier que les données personnelles sont supprimées à la fin du traitement CMA_0540 - Vérifier que les informations personnelles sont supprimées à la fin du traitement Manuel, désactivé 1.1.0

Accès aux informations personnelles

ID : SOC 2 Type 2 P5.1 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Implémenter des méthodes pour les demandes des consommateurs CMA_0319 - Implémenter des méthodes pour les demandes des consommateurs Manuel, désactivé 1.1.0
Publier les règles et les réglementations pour accéder aux dossiers de la Loi sur la confidentialité CMA_C1847 - Publier les règles et les réglementations pour accéder aux dossiers de la Loi sur la confidentialité Manuel, désactivé 1.1.0

Vérification des informations personnelles

ID : SOC 2 Type 2 P5.2 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Répondre aux requêtes de rectification CMA_0442 – Répondre aux requêtes de rectification Manuel, désactivé 1.1.0

Divulgation d’informations personnelles à des tiers

ID : SOC 2 Type 2 P6.1 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Définir les tâches des processeurs CMA_0127 - Définir les tâches des processeurs Manuel, désactivé 1.1.0
Déterminer les obligations des contrats fournisseur CMA_0140 - Déterminer les obligations des contrats fournisseur Manuel, désactivé 1.1.0
Documenter les critères d’acceptation des contrats d’acquisition CMA_0187 - Documenter les critères d’acceptation des contrats d’acquisition Manuel, désactivé 1.1.0
Documenter la protection des données personnelles dans les contrats d’acquisition CMA_0194 - Documenter la protection des données personnelles dans les contrats d’acquisition Manuel, désactivé 1.1.0
Documenter la protection des informations de sécurité dans les contrats d’acquisition CMA_0195 - Documenter la protection des informations de sécurité dans les contrats d’acquisition Manuel, désactivé 1.1.0
Documenter les exigences pour l’utilisation des données partagées dans les contrats CMA_0197 - Documenter les exigences pour l’utilisation des données partagées dans les contrats Manuel, désactivé 1.1.0
Documenter les exigences d’assurance de sécurité dans les contrats d’acquisition CMA_0199 - Documenter les exigences d’assurance de sécurité dans les contrats d’acquisition Manuel, désactivé 1.1.0
Documenter les exigences de documentation de sécurité dans les contrats d’acquisition CMA_0200 - Documenter les exigences de documentation de sécurité dans les contrats d’acquisition Manuel, désactivé 1.1.0
Documenter les exigences fonctionnelles de sécurité dans les contrats d’acquisition CMA_0201 - Documenter les exigences fonctionnelles de sécurité dans les contrats d’acquisition Manuel, désactivé 1.1.0
Documenter les exigences de niveau de sécurité dans les contrats d’acquisition CMA_0203 - Documenter les exigences de niveau de sécurité dans les contrats d’acquisition Manuel, désactivé 1.1.0
Documenter l’environnement du système d’information dans les contrats d’acquisition CMA_0205 - Documenter l’environnement du système d’information dans les contrats d’acquisition Manuel, désactivé 1.1.0
Documenter la protection des données des détenteurs de carte dans les contrats de tiers CMA_0207 - Documenter la protection des données des détenteurs de carte dans les contrats de tiers Manuel, désactivé 1.1.0
Établir des exigences de confidentialité pour les sous-traitants et les fournisseurs de services CMA_C1810 - Établir des exigences de confidentialité pour les sous-traitants et les fournisseurs de services Manuel, désactivé 1.1.0
Enregistrer les divulgations d’informations personnelles à des tiers CMA_0422 - Enregistrer les divulgations d’informations personnelles à des tiers Manuel, désactivé 1.1.0
Former le personnel sur le partage d’informations personnelles et ses conséquences CMA_C1871 - Former le personnel sur le partage d’informations personnelles et ses conséquences Manuel, désactivé 1.1.0

Divulgation autorisée d’un ensemble d’informations personnelles

ID : SOC 2 Type 2 P6.2 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Conserver une comptabilité précise des divulgations d’informations CMA_C1818 - Conserver une comptabilité précise des divulgations d’informations Manuel, désactivé 1.1.0

Divulgation non autorisée d’un ensemble d’informations personnelles

ID : SOC 2 Type 2 P6.3 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Conserver une comptabilité précise des divulgations d’informations CMA_C1818 - Conserver une comptabilité précise des divulgations d’informations Manuel, désactivé 1.1.0

Contrats avec des tiers

ID : SOC 2 Type 2 P6.4 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Définir les tâches des processeurs CMA_0127 - Définir les tâches des processeurs Manuel, désactivé 1.1.0

Notification de divulgation non autorisée d’informations à un tiers

ID : SOC 2 Type 2 P6.5 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Déterminer les obligations des contrats fournisseur CMA_0140 - Déterminer les obligations des contrats fournisseur Manuel, désactivé 1.1.0
Documenter les critères d’acceptation des contrats d’acquisition CMA_0187 - Documenter les critères d’acceptation des contrats d’acquisition Manuel, désactivé 1.1.0
Documenter la protection des données personnelles dans les contrats d’acquisition CMA_0194 - Documenter la protection des données personnelles dans les contrats d’acquisition Manuel, désactivé 1.1.0
Documenter la protection des informations de sécurité dans les contrats d’acquisition CMA_0195 - Documenter la protection des informations de sécurité dans les contrats d’acquisition Manuel, désactivé 1.1.0
Documenter les exigences pour l’utilisation des données partagées dans les contrats CMA_0197 - Documenter les exigences pour l’utilisation des données partagées dans les contrats Manuel, désactivé 1.1.0
Documenter les exigences d’assurance de sécurité dans les contrats d’acquisition CMA_0199 - Documenter les exigences d’assurance de sécurité dans les contrats d’acquisition Manuel, désactivé 1.1.0
Documenter les exigences de documentation de sécurité dans les contrats d’acquisition CMA_0200 - Documenter les exigences de documentation de sécurité dans les contrats d’acquisition Manuel, désactivé 1.1.0
Documenter les exigences fonctionnelles de sécurité dans les contrats d’acquisition CMA_0201 - Documenter les exigences fonctionnelles de sécurité dans les contrats d’acquisition Manuel, désactivé 1.1.0
Documenter les exigences de niveau de sécurité dans les contrats d’acquisition CMA_0203 - Documenter les exigences de niveau de sécurité dans les contrats d’acquisition Manuel, désactivé 1.1.0
Documenter l’environnement du système d’information dans les contrats d’acquisition CMA_0205 - Documenter l’environnement du système d’information dans les contrats d’acquisition Manuel, désactivé 1.1.0
Documenter la protection des données des détenteurs de carte dans les contrats de tiers CMA_0207 - Documenter la protection des données des détenteurs de carte dans les contrats de tiers Manuel, désactivé 1.1.0
Sécurité des informations et protection des données personnelles CMA_0332 - Sécurité des informations et protection des données personnelles Manuel, désactivé 1.1.0

Notification d’incident de confidentialité

ID : SOC 2 Type 2 P6.6 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Mettez sur pied un plan de réponse en cas d'incident CMA_0145 – Développer un plan de réponse aux incidents Manuel, désactivé 1.1.0
Sécurité des informations et protection des données personnelles CMA_0332 - Sécurité des informations et protection des données personnelles Manuel, désactivé 1.1.0

Registre des divulgations d’informations personnelles

ID : SOC 2 Type 2 P6.7 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Implémenter des méthodes de remise de déclaration de confidentialité CMA_0324 - Implémenter des méthodes de remise de déclaration de confidentialité Manuel, désactivé 1.1.0
Conserver une comptabilité précise des divulgations d’informations CMA_C1818 - Conserver une comptabilité précise des divulgations d’informations Manuel, désactivé 1.1.0
Rendre la comptabilité des divulgations disponible sur demande CMA_C1820 - Rendre la comptabilité des divulgations disponible sur demande Manuel, désactivé 1.1.0
Fournir une déclaration de confidentialité CMA_0414 - Fournir une déclaration de confidentialité Manuel, désactivé 1.1.0
Restreindre les communications CMA_0449 - Restreindre les communications Manuel, désactivé 1.1.0

Qualité des informations personnelles

ID : SOC 2 Type 2 P7.1 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Confirmer la qualité et l’intégrité des informations d’identification personnelle CMA_C1821 - Confirmer la qualité et l’intégrité des informations d’identification personnelle Manuel, désactivé 1.1.0
Émettre des recommandations relatives à la garantie de la qualité et de l’intégrité des données CMA_C1824 - Émettre des recommandations relatives à la garantie de la qualité et de l’intégrité des données Manuel, désactivé 1.1.0
Vérifier les informations d’identification personnelle inexactes ou obsolètes CMA_C1823 – Vérifier les informations d’identification personnelle inexactes ou obsolètes Manuel, désactivé 1.1.0

Gestion des plaintes relatives à la confidentialité et gestion de la conformité

ID : SOC 2 Type 2 P8.1 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Documenter et implémenter des procédures de plaintes relatives à la protection de la vie privée CMA_0189 - Documenter et implémenter des procédures de plaintes relatives à la protection de la vie privée Manuel, désactivé 1.1.0
Évaluer et examiner régulièrement les conservations d’informations personnelles CMA_C1832 - Évaluer et examiner régulièrement les conservations d’informations d’identification personnelle Manuel, désactivé 1.1.0
Sécurité des informations et protection des données personnelles CMA_0332 - Sécurité des informations et protection des données personnelles Manuel, désactivé 1.1.0
Répondre aux plaintes, aux préoccupations ou aux questions en temps opportun CMA_C1853 – Répondre aux plaintes, aux préoccupations ou aux questions en temps opportun Manuel, désactivé 1.1.0
Former le personnel sur le partage d’informations personnelles et ses conséquences CMA_C1871 - Former le personnel sur le partage d’informations personnelles et ses conséquences Manuel, désactivé 1.1.0

Critères supplémentaires pour le traitement de l’intégrité

Définitions du traitement de données

ID : SOC 2 Type 2 PI1.1 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Implémenter des méthodes de remise de déclaration de confidentialité CMA_0324 - Implémenter des méthodes de remise de déclaration de confidentialité Manuel, désactivé 1.1.0
Fournir une déclaration de confidentialité CMA_0414 - Fournir une déclaration de confidentialité Manuel, désactivé 1.1.0
Restreindre les communications CMA_0449 - Restreindre les communications Manuel, désactivé 1.1.0

Entrées système sur l’exhaustivité et la précision

ID : SOC 2 Type 2 PI1.2 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Effectuer la validation des entrées d’informations CMA_C1723 - Effectuer la validation des entrées d’informations Manuel, désactivé 1.1.0

Traitement du système

ID : SOC 2 Type 2 PI1.3 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Contrôler l’accès physique CMA_0081 – Contrôler l’accès physique Manuel, désactivé 1.1.0
Générer des messages d’erreur CMA_C1724 - Générer des messages d’erreur Manuel, désactivé 1.1.0
Gérer l’entrée, la sortie, le traitement et le stockage des données CMA_0369 – Gérer l’entrée, la sortie, le traitement et le stockage des données Manuel, désactivé 1.1.0
Effectuer la validation des entrées d’informations CMA_C1723 - Effectuer la validation des entrées d’informations Manuel, désactivé 1.1.0
Examiner l’activité et l’analytique de l’étiquette CMA_0474 – Examiner l’activité et l’analytique de l’étiquette Manuel, désactivé 1.1.0

La sortie du système est complète, précise et ponctuelle

ID : SOC 2 Type 2 PI1.4 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Contrôler l’accès physique CMA_0081 – Contrôler l’accès physique Manuel, désactivé 1.1.0
Gérer l’entrée, la sortie, le traitement et le stockage des données CMA_0369 – Gérer l’entrée, la sortie, le traitement et le stockage des données Manuel, désactivé 1.1.0
Examiner l’activité et l’analytique de l’étiquette CMA_0474 – Examiner l’activité et l’analytique de l’étiquette Manuel, désactivé 1.1.0

Stocker les données d’entrée et de sortie de manière complète, précise et ponctuelle

ID : SOC 2 Type 2 PI1.5 Propriété : Partagé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
La sauvegarde Azure doit être activée pour les machines virtuelles Assurez la protection de vos machines virtuelles Azure en activant la sauvegarde Azure. La Sauvegarde Azure est une solution de protection des données sécurisée et économique pour Azure. AuditIfNotExists, Désactivé 3.0.0
Contrôler l’accès physique CMA_0081 – Contrôler l’accès physique Manuel, désactivé 1.1.0
Établir des stratégies et des procédures de sauvegarde CMA_0268 - Établir des stratégies et des procédures de sauvegarde Manuel, désactivé 1.1.0
La sauvegarde géoredondante doit être activée pour Azure Database for MariaDB Azure Database for MariaDB vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région jumelée pour offrir une possibilité de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création du serveur. Audit, Désactivé 1.0.1
La sauvegarde géoredondante doit être activée pour Azure Database pour MySQL Azure Database pour MySQL vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région jumelée pour offrir une possibilité de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création du serveur. Audit, Désactivé 1.0.1
La sauvegarde géoredondante doit être activée pour Azure Database pour PostgreSQL Azure Database pour PostgreSQL vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région jumelée pour offrir une possibilité de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création du serveur. Audit, Désactivé 1.0.1
Implémenter des contrôles pour sécuriser tous les supports CMA_0314 – Implémenter des contrôles pour sécuriser tous les supports Manuel, désactivé 1.1.0
Gérer l’entrée, la sortie, le traitement et le stockage des données CMA_0369 – Gérer l’entrée, la sortie, le traitement et le stockage des données Manuel, désactivé 1.1.0
Examiner l’activité et l’analytique de l’étiquette CMA_0474 – Examiner l’activité et l’analytique de l’étiquette Manuel, désactivé 1.1.0
Stocker séparément les informations de sauvegarde CMA_C1293 - Stocker séparément les informations de sauvegarde Manuel, désactivé 1.1.0

Étapes suivantes

Autres articles sur Azure Policy :