Normes de conformité réglementaire dans Microsoft Defender pour le cloud
Microsoft Defender pour le cloud simplifie le processus de conformité réglementaire en vous aidant à identifier les problèmes qui vous empêchent de respecter une norme de conformité particulière ou d’obtenir une certification de conformité.
Les normes du secteur, les normes réglementaires et les points de références sont représentés dans Defender pour le cloud en tant que normes de sécurité et apparaissent dans le tableau de bord Conformité réglementaire.
Contrôles de conformité
Chaque norme de sécurité se compose de plusieurs contrôles de conformité, qui sont des groupes logiques de recommandations de sécurité associées.
Defender pour le cloud évalue continuellement l’étendue de l’environnement par rapport aux contrôles de conformité qui peuvent être évalués automatiquement. En fonction des évaluations, elle montre que les ressources sont conformes ou non conformes aux contrôles.
Remarque
Il est important de noter que si les normes ont des contrôles de conformité qui ne peuvent pas être évalués automatiquement, Defender pour le cloud ne peut pas décider si une ressource est conforme au contrôle. Dans ce cas, le contrôle apparaît grisé. En outre, si un abonnement n’a aucune ressource visée par une norme spécifique, cette norme n’est pas affichée dans le tableau de bord de conformité réglementaire, même si elle est affectée.
Afficher les normes de conformité
Le tableau de bord Conformité réglementaire fournit une vue d’ensemble interactive de l’état de conformité.
Dans le tableau de bord, vous pouvez :
- Obtenir un résumé des contrôles de normes qui ont été passés.
- Obtenir le résumé des normes qui ont le taux de réussite le plus bas pour les ressources.
- Passer en revue les normes appliquées dans l’étendue sélectionnée.
- Passer en revue les évaluations des contrôles de conformité au sein de chaque norme appliquée.
- Obtenir un rapport de synthèse pour une norme spécifique.
- Gérer les stratégies de conformité pour voir les normes affectées à une étendue spécifique.
- Exécuter une requête pour créer un rapport de conformité personnalisé
- Créez un « classeur de conformité au fil du temps » pour suivre l’évolution de la conformité au fil du temps.
- Téléchargez les rapports d’audit.
- Passez en revue les offres de conformité pour les audits Microsoft et tiers.
Détails de la norme de conformité
Pour chaque norme de conformité, vous pouvez afficher :
- L’étendue pour la norme.
- Chaque norme est divisée en groupes de contrôles et de sous-contrôles.
- Lorsque vous appliquez une norme à une étendue, vous pouvez voir un résumé de l’évaluation de conformité pour les ressources dans l’étendue, pour chaque contrôle de norme.
- L’état des évaluations reflète la conformité à la norme. Il existe trois états :
- Un cercle vert indique que les ressources dans l’étendue sont conformes au contrôle.
- Un cercle rouge indique que les ressources ne sont pas conformes au contrôle.
- Les contrôles indisponibles sont ceux qui ne peuvent pas être évalués automatiquement et, par conséquent, Defender pour le cloud n’est pas en mesure de déterminer si les ressources sont conformes.
Vous pouvez explorer au niveau du détail les contrôles pour obtenir des informations sur les ressources qui ont passé/échoué des évaluations et sur les étapes de correction.
Normes de conformité par défaut
Par défaut, lorsque vous activez Defender pour le cloud, les normes suivantes sont activées :
- Pour Azure: Benchmark de la sécurité Microsoft Cloud (MCSB).
- Pour AWS: Benchmark de la sécurité Microsoft Cloud (MCSB) et Norme fondamentale de meilleures pratiques de sécurité AWS.
- Pour GCP: Benchmark de la sécurité Microsoft Cloud (MCSB) et GCP Par défaut.
Normes de conformité disponibles
Les normes suivantes sont disponibles dans Microsoft Defender pour le cloud :
| Normes pour les abonnements Azure | Normes pour les comptes AWS | Normes pour les projets GCP |
|---|---|---|
| Australian Government ISM Protected | Meilleures pratiques de sécurité de base pour AWS | Loi générale brésilienne sur la protection des données (LGPD) |
| PBMM fédéral du Canada | AWS Well-Architected Framework | Loi CCPA (California Consumer Privacy Act) |
| Fondements Azure du CIS | Loi générale brésilienne sur la protection des données (LGPD) | Contrôles CIS |
| CIS Azure Kubernetes Service (Benchmark AKS) | Loi CCPA (California Consumer Privacy Act) | CIS GCP Foundations |
| CMMC | Benchmark CIS Amazon Elastic Kubernetes Service (EKS) | CIS Google Cloud Platform Foundation Benchmark |
| FedRAMP « H » & « M » | CIS AWS Foundations | CIS Google Kubernetes Engine (GKE) Benchmark |
| HIPAA/HITRUST | CRI Profile | CRI Profile |
| ISO/IEC 27001 | CSA Cloud Controls Matrix (CCM) | CSA Cloud Controls Matrix (CCM) |
| New Zealand ISM Restricted | RGPD | CMMC (Cybersecurity Maturity Model Certification) |
| Service NIS (Network Information Service) SP 800-171 | ISO/IEC 27001 | FFIEC Cybersecurity Assessment Tool (CAT) |
| NIST SP 800-53 | ISO/IEC 27002 | RGPD |
| PCI DSS | Infrastructure de cybersécurité NIST (CSF) | ISO/IEC 27001 |
| RMIT Malaysia | NIST SP 800-172 | ISO/IEC 27002 |
| SOC 2 | PCI DSS | ISO/IEC 27017 |
| ENS Espagnol | Infrastructure de cybersécurité NIST (CSF) | |
| SWIFT CSP CSCF | NIST SP 800-53 | |
| UK OFFICIAL et UK NHS | Service NIS (Network Information Service) SP 800-171 | |
| NIST SP 800-172 | ||
| PCI DSS | ||
| Sarbanes Oxley Act (SOX) | ||
| SOC 2 |