Microsoft Entra considérations relatives aux clients sous DORA
Remarque
Ces informations ne sont pas des conseils juridiques, financiers ou professionnels et ne doivent pas être considérés comme une déclaration complète, ni les actions nécessaires pour se conformer aux exigences de la loi. Il est fourni à titre d’information uniquement.
La loi sur la résilience opérationnelle numérique (DORA) est un cadre réglementaire établi par l’Union européenne, visant à renforcer la résilience opérationnelle du secteur des services financiers au milieu de l’évolution rapide du paysage des risques liés aux technologies de l’information et de la communication (TIC). Les entités réglementées peuvent envisager d’incorporer des fonctionnalités et des fonctionnalités Microsoft Entra dans leurs infrastructures, stratégies et plans pour s’aligner sur certaines exigences de DORA.
Bien que Microsoft Entra ID offre des contrôles qui peuvent aider à répondre à certaines exigences DORA et fournit des fonctionnalités modernes de gestion des identités et des accès (IAM), le fait de s’appuyer uniquement sur une plateforme IAM n’est pas suffisant pour protéger les données d’entité financière. Il est important de passer en revue cet article et toutes les exigences DORA pour établir un programme complet de résilience opérationnelle numérique. Pour obtenir des ressources DORA officielles, visitez le site officiel de l’Autorité européenne des assurances et des pensions professionnelles.
Microsoft Entra et DORA
Microsoft Entra, qui se compose de Microsoft Entra ID (anciennement Azure Active Directory) et d’autres fonctionnalités de Microsoft Entra, est un service d’identité d’entreprise qui peut aider à sécuriser des applications, des systèmes et des ressources à la prise en charge des efforts de conformité DORA. Microsoft Entra ID sous-tend les offres d’entreprise Microsoft telles que Microsoft 365, Azure et Dynamics 365, améliore la sécurité globale et la protection des identités et peut jouer un rôle crucial dans l’alignement sur les exigences plus larges de gestion des risques liés aux TIC dans le cadre de DORA.
Les entités réglementées peuvent envisager d’incorporer des fonctionnalités Microsoft Entra dans leurs infrastructures, stratégies et plans pour s’aligner sur certaines exigences de DORA :
- Cadre de gestion des risques liés aux TIC
- Stratégie de continuité d’activité DES TIC
- Plans de réponse et de récupération des TIC
Chacun des éléments mentionnés ci-dessus peut englober diverses stratégies, politiques, procédures, protocoles TIC et outils que les entités financières doivent mettre en œuvre. La liste ci-dessus ne doit pas être considérée comme exhaustive.
En outre, un cadre de gouvernance et de contrôle interne qui garantit une gestion efficace et prudente des risques liés aux TIC est essentiel pour atténuer les risques que DORA cherche à traiter. Lorsqu’un tel cadre est pris en charge par l’utilisation de contrôles Microsoft Entra, il devrait y avoir une évaluation régulière des contrôles et d’autres mesures d’atténuation des risques pour les charges de travail prises en charge, avec une attention particulière à celles qui font partie intégrante de la prestation des services financiers.
conseils Microsoft Entra pour les clients dans le cadre de DORA
L’architecture distribuée géographiquement de Microsoft Entra combine des fonctionnalités étendues de supervision, de réacheminement automatisé, de basculement et de récupération pour offrir une haute disponibilité et des performances continues. Microsoft adopte également une approche complète de la gestion des incidents de sécurité, de la gestion des fournisseurs et de la gestion des vulnérabilités.
Microsoft Entra ID fonctionnalité peut aider les entités financières à respecter leurs obligations de conformité DORA. Le tableau suivant présente les fonctionnalités, les fonctionnalités et les offres de services De Microsoft, ainsi que des conseils connexes et une liste non exhaustive d’exemples d’articles DORA à prendre en compte dans le cadre d’un programme complet de résilience opérationnelle numérique.
Les articles référencés dans le tableau ci-dessous fournissent des conseils aux entités financières sur la façon dont Microsoft Entra ID peuvent être configurés et opérationnels de manière à promouvoir les meilleures pratiques efficaces de gestion des identités et des accès (IAM) dans le cadre de leurs obligations de conformité DORA.
Remarque
Par souci de concision, nous avons fait référence au RTS sur le cadre de gestion des risques liés aux TIC et au cadre simplifié de gestion des risques liés aux TIC (référence JC 2023 86) en tant que « RTS sur les cadres de gestion des risques liés aux TIC ».
| Fonctionnalité, fonctionnalité ou offre de service Microsoft | Conseils pour la prise en compte des clients | Exemples d’articles DORA pour les clients |
|---|---|---|
| Plusieurs fonctionnalités de Microsoft Entra ID permettent aux organisations de renforcer la résilience dans la gestion des identités et des accès. | Les entités financières peuvent améliorer la résilience des systèmes protégés par Microsoft Entra ID, en suivant les recommandations incluses et référencées dans l’article suivant : |
Loi DORA :
|
| système d’authentification de sauvegarde Microsoft Entra | Les entités financières peuvent prendre en compte le système d’authentification de sauvegarde Microsoft Entra, qui augmente la résilience de l’authentification en cas de panne. Les entités financières peuvent prendre des mesures pour s’assurer que les utilisateurs peuvent s’authentifier à l’aide du système d’authentification de sauvegarde en cas de panne, par exemple :
|
Loi DORA :
|
| évaluation continue de l’accès Microsoft Entra | Les entités financières peuvent envisager d’utiliser l’évaluation continue de l’accès (CAE), ce qui permet aux Microsoft Entra ID d’émettre des jetons de durée de vie plus longue tout en permettant aux applications de révoquer l’accès et de forcer la réauthentification uniquement si nécessaire. Le résultat net de ce modèle est moins d’appels à l’acquisition de jetons, ce qui signifie que le flux de bout en bout est plus résilient. Pour utiliser cae, le service et le client doivent être compatibles avec cae. Par conséquent, les entités financières peuvent prendre en compte ces étapes d’implémentation pour mettre à jour le code afin d’utiliser des API compatibles avec CAE, s’assurer que des versions compatibles des applications natives Microsoft Office sont utilisées et optimiser les invites de réauthentification. |
Loi DORA :
|
| Options de l’architecture d’authentification hybride Microsoft | Les entités financières qui nécessitent une architecture d’authentification hybride peuvent prendre en compte la résilience des mécanismes d’authentification hybride, notamment les dépendances locales et les points de défaillance potentiels.
|
Loi DORA :
|
| Plusieurs fonctionnalités de Microsoft Entra ID permettent aux organisations de renforcer la posture de sécurité de leurs locataires. | Les entités financières peuvent déployer des actions recommandées critiques :
|
Loi DORA :
|
| L’authentification unique (SSO) pour les applications d’entreprise dans Microsoft Entra ID permet de garantir les avantages des stratégies d’informations d’identification, de la détection des menaces, de l’audit, de la journalisation et d’autres fonctionnalités ajoutées à ces applications. | Les entités financières peuvent configurer des applications pour qu’elles utilisent Microsoft Entra ID comme fournisseur d’identité afin de tirer parti des stratégies d’informations d’identification, de la détection des menaces, de l’audit, de la journalisation et d’autres fonctionnalités qui peuvent aider à protéger et à surveiller correctement les applications. Suivez les recommandations de gestion des applications pour vous assurer que les applications sont sécurisées, régies, surveillées et nettoyées. |
Loi DORA :
RTS sur les frameworks de gestion des risques liés aux TIC :
|
| L’authentification multifacteur dans Microsoft Entra ID nécessite au moins deux méthodes d’authentification pour renforcer la sécurité. | Les entités financières peuvent implémenter l’authentification multifacteur (MFA) dans Microsoft Entra ID pour réduire considérablement le risque d’accès non autorisé et garantir la sécurité des systèmes TIC :
|
Loi DORA :
RTS sur les frameworks de gestion des risques liés aux TIC :
|
| L’accès conditionnel dans Microsoft Entra ID est le moteur de stratégie Confiance nulle de Microsoft qui prend en compte les signaux provenant de différentes sources lors de l’application des décisions de stratégie. | Les entités financières peuvent implémenter les contrôles suivants dans l’accès conditionnel, pour tous les utilisateurs :
Nous recommandons également que les entités financières examinent et prennent en compte les stratégies recommandées dans nos conseils de déploiement de l’accès conditionnel. L’implémentation des contrôles ci-dessus pour les comptes privilégiés peut être considérée comme une exigence critique, car ces comptes peuvent avoir un impact grave sur la sécurité et le fonctionnement de Microsoft Entra ID. |
Loi DORA :
RTS sur les frameworks de gestion des risques liés aux TIC :
|
| Privileged Identity Management (PIM) est un service dans Microsoft Entra ID qui vous permet de gérer, de contrôler et de surveiller l’accès aux ressources importantes de votre organization. | Des contrôles de sécurité robustes peuvent être implémentés pour les rôles privilégiés afin d’empêcher la disponibilité accidentelle ou malveillante Microsoft Entra ID, une configuration incorrecte et/ou une perte de données :
|
Loi DORA :
RTS sur les frameworks de gestion des risques liés aux TIC :
|
| Microsoft Entra ID fournit des contrôles d’accès en fonction du rôle (RBAC), y compris les rôles intégrés et les rôles personnalisés. | Les entités financières peuvent suivre le principe du privilège minimum pour limiter l’accès à ce qui est requis pour les fonctions et activités légitimes et approuvées, ce qui contribue à réduire l’impact potentiel d’une violation de sécurité. Dans le cadre d’une stratégie de privilèges minimum, nous recommandons aux entités financières de suivre les meilleures pratiques pour Microsoft Entra rôles. |
Loi DORA :
RTS sur les frameworks de gestion des risques liés aux TIC :
|
| Les actions protégées dans Microsoft Entra ID sont des autorisations auxquelles des stratégies d’accès conditionnel ont été affectées. Lorsqu’un utilisateur tente d’effectuer une action protégée, il doit d’abord satisfaire aux stratégies d’accès conditionnel affectées aux autorisations requises. | Pour aider à augmenter le nombre d’actions administratives qui se trouvent dans l’étendue des actions protégées et à réduire le risque de verrouillage de locataire, suivez les meilleures pratiques pour les actions protégées dans Microsoft Entra ID. Pour vous protéger contre les suppressions matérielles accidentelles ou malveillantes de certains objets de répertoire supprimés de manière réversible de la Corbeille et la perte de données permanente, vous pouvez ajouter une action protégée pour l’autorisation suivante : Microsoft.directory/deletedItems/delete Cette suppression s’applique aux utilisateurs, aux groupes Microsoft 365 et aux applications. |
Loi DORA :
RTS sur les frameworks de gestion des risques liés aux TIC :
|
| Microsoft Entra ID prend en charge de nombreuses options d’intégration des journaux d’activité pour le stockage ou l’analyse, afin de répondre aux objectifs de résolution des problèmes, de stockage à long terme ou de surveillance. | Les entités financières peuvent sélectionner et implémenter une approche d’intégration des journaux d’activité qui permet une analyse et une surveillance continues, ainsi qu’une période de conservation des données suffisante :
|
Loi DORA :
RTS sur les frameworks de gestion des risques liés aux TIC :
|
| Microsoft Identity Secure Score indique comment une organization est alignée sur certaines recommandations de Microsoft en matière de sécurité. | Les entités financières peuvent régulièrement examiner le degré de sécurisation des identités Microsoft pour mesurer et suivre la posture de sécurité des identités et planifier les améliorations de la sécurité des identités. Microsoft propose également de nombreux services, tels que microsoft Confiance nulle Workshop, qui peuvent aider les organisations à évaluer leur posture de sécurité des locataires Microsoft Entra, comme indiqué ailleurs dans ce tableau. |
Loi DORA :
RTS sur les frameworks de gestion des risques liés aux TIC :
|
| La fonctionnalité de recommandations Microsoft Entra permet de garantir la sécurité et l’intégrité du locataire par le biais de la surveillance et des alertes par e-mail. | Les entités financières peuvent case activée Microsoft Entra recommandations régulièrement pour s’assurer de la connaissance de toutes les nouvelles recommandations, car elles peuvent aider à identifier les opportunités d’implémenter les meilleures pratiques et à optimiser les configurations pour les fonctionnalités liées à Microsoft Entra ID. | Loi DORA :
RTS sur les frameworks de gestion des risques liés aux TIC :
|
| Classeurs Azure pour Microsoft Entra ID fournit une représentation visuelle des données de locataire, ce qui permet l’interrogation et la visualisation pour un certain nombre de scénarios de gestion des identités. | Les entités financières peuvent sélectionner et examiner régulièrement des modèles de classeur dans Microsoft Entra ID qui peuvent aider à surveiller la sécurité et le fonctionnement des cas d’usage Microsoft Entra ID pertinents. À titre d’exemples de modèles de classeurs publics Microsoft Entra actuels qui peuvent vous aider :
|
Loi DORA :
|
| Microsoft Graph fournit un accès basé sur l’API à Microsoft Entra ID et à un certain nombre de services Microsoft 365. | Pour réduire la surface d’attaque d’une application et l’impact d’une violation de sécurité, les entités financières peuvent suivre le principe du privilège minimum lors de la création, de l’attribution de l’accès et de l’audit de Plateforme d'identités Microsoft’application intégrée. | Loi DORA :
RTS sur les frameworks de gestion des risques liés aux TIC :
|
| Microsoft365DSC permet la gestion automatisée de la configuration des locataires. Microsoft365DSC prend en charge certaines configurations Microsoft Entra ID. | Pour enregistrer certains paramètres de configuration Microsoft Entra ID et suivre les modifications, les entités financières peuvent envisager des outils de gestion de configuration automatisés tels que Microsoft365DSC. Une documentation manuelle peut être nécessaire pour tous les paramètres de configuration qui ne sont pas disponibles via l’API. |
Loi DORA :
|
| Protection Microsoft Entra ID aide les organisations à détecter, examiner et corriger les risques liés à l’identité. | Pour aider à détecter, examiner et corriger les risques liés à l’identité (y compris les activités anormales), les entités financières peuvent envisager un service tel que Protection Microsoft Entra ID. Les entités financières qui déploient des Protection Microsoft Entra ID peuvent intégrer le service avec l’accès conditionnel dans Microsoft Entra ID pour la correction automatisée, ainsi que des outils SIEM (Security Information and Event Management) tels que Microsoft Sentinel pour archiver, examiner plus en détail et corrélation. Les identités humaines et de charge de travail peuvent être comprises dans l’étendue de ces protections. Nous vous recommandons d’utiliser des outils de défense d’entreprise pour coordonner la détection, la prévention, l’investigation et la réponse. Par exemple, Microsoft Defender XDR permet aux équipes de sécurité de protéger et de détecter leurs organisations en utilisant des informations provenant d’autres produits de sécurité Microsoft, notamment Protection Microsoft Entra ID. |
Loi DORA :
RTS sur les frameworks de gestion des risques liés aux TIC :
|
| Microsoft Entra ID fonctionnalités de récupération, notamment la suppression réversible et les API Microsoft Graph pour de nombreux types de ressources différents (exemple : API Graph d’accès conditionnel). | Les entités financières peuvent intégrer les meilleures pratiques de récupération dans les procédures de récupération et les tests de continuité d’activité des TIC (ou des activités similaires), y compris, mais sans s’y limiter :
La fréquence des étapes ci-dessus peut être déterminée par l’entité financière en fonction de la criticité des informations contenues dans Microsoft Entra ID, en fonction des délais spécifiés par DORA. |
Loi DORA :
RTS sur les frameworks de gestion des risques liés aux TIC :
|
| Ressources Microsoft qui fournissent des informations et des ressources de formation relatives aux vulnérabilités, aux cybermenaces, aux incidents liés aux TIC et aux fonctionnalités de produit liées à la sécurité. | Les entités financières peuvent régulièrement examiner, suivre et agir sur ces ressources fournies par Microsoft en lien avec les vulnérabilités et les cybermenaces, notamment : Les entités financières peuvent mettre au point des programmes de sensibilisation à la sécurité des TIC qui intègrent Microsoft Entra ID formation pour le personnel concerné, notamment :
Notez que certaines des ressources ci-dessus couvrent une gamme de produits et de technologies De sécurité Microsoft. Ils ne sont pas limités à Microsoft Entra. |
Loi DORA :
RTS sur les frameworks de gestion des risques liés aux TIC :
|
| Gouvernance Microsoft Entra ID est une solution de gouvernance des identités qui permet aux organisations d’améliorer leur productivité, de renforcer la sécurité et de répondre plus facilement aux exigences réglementaires et de conformité. | Les entités financières peuvent envisager le déploiement d’une solution de gouvernance des identités pour contrôler les droits de gestion des accès. Gouvernance Microsoft Entra ID inclut les fonctionnalités suivantes qui peuvent vous aider à appliquer le principe du privilège minimum aux ressources protégées par Microsoft Entra ID :
|
Loi DORA :
RTS sur les frameworks de gestion des risques liés aux TIC :
|
| Ressources Microsoft qui fournissent des conseils relatifs aux opérations de sécurité Microsoft Entra ID et à la réponse aux incidents. | Les entités financières peuvent examiner et envisager d’opérationnaliser Microsoft Entra ID les opérations de sécurité et les conseils de réponse aux incidents, y compris, mais sans s’y limiter :
|
Loi DORA :
|
| Ressources qui fournissent des informations relatives à (et potentiellement liées à) Microsoft Entra ID disponibilité | Les entités financières peuvent régulièrement examiner, suivre et prendre en compte les informations incluses dans ces articles et sites :
Notez que certaines des ressources ci-dessus couvrent une gamme de produits et de technologies De sécurité Microsoft. Ils ne sont pas limités à Microsoft Entra. |
Loi DORA :
RTS sur les frameworks de gestion des risques liés aux TIC :
|
| Offres de service Microsoft qui peuvent aider les organisations à évaluer la posture de sécurité de leurs locataires Microsoft Entra dans le cadre des tests de résilience opérationnelle numérique | Le programme de test de résilience opérationnelle numérique déployé par une entité financière peut comprendre un certain nombre d’évaluations, d’outils et de méthodologies, notamment :
Les entités financières peuvent effectuer régulièrement ces évaluations, à une fréquence conforme aux exigences actuelles de DORA. |
Loi DORA :
|
| Ressources qui fournissent des informations relatives aux modifications Microsoft Entra | Les entités financières peuvent régulièrement suivre et prendre en compte les informations incluses dans les articles et les sites ci-dessous. Les mesures prises par les entités financières peuvent inclure, par exemple, des tests de régression et des mises à jour des processus et tests de résilience opérationnelle numérique.
|
Loi DORA :
RTS sur les frameworks de gestion des risques liés aux TIC :
|
| Ressources qui fournissent des informations relatives aux tests d’intrusion et aux Microsoft Entra ID | Les entités financières souhaitant effectuer des tests d’intrusion sur leur cloud Microsoft peuvent prendre en compte les règles d’engagement répertoriées dans cet article : Les entités financières peuvent prendre en compte les règles d’engagement ci-dessus dans le cadre du présent rapport des autorités de surveillance européennes (SEC) :
|
Loi DORA :
RTS sur les frameworks de gestion des risques liés aux TIC :
|
| Ressources liées à l’activation, à l’application et à la gestion des contrôles de chiffrement et de chiffrement lors de la transmission de données vers ou depuis Microsoft Entra ID. | Pour des raisons de sécurité, Microsoft Entra ID cessera bientôt de prendre en charge les protocoles et les chiffrements TLS (Transport Layer Security) avant TLS 1.2 et déploiera la prise en charge de TLS 1.3. Les entités financières peuvent envisager les étapes suivantes pour garantir l’utilisation et la gestion des contrôles de chiffrement et de chiffrement appropriés :
|
RTS sur les frameworks de gestion des risques liés aux TIC :
RTS sur les frameworks de gestion des risques liés aux TIC :
|
| Ressources liées aux caractéristiques de capacité et de performances Microsoft Entra ID | Les entités financières peuvent envisager d’examiner et de suivre la documentation suivante pour comprendre certaines caractéristiques de capacité et de performances Microsoft Entra ID :
|
RTS sur les frameworks de gestion des risques liés aux TIC :
RTS sur les frameworks de gestion des risques liés aux TIC :
|
| Global Secure Access est une solution Microsoft Security Service Microsoft Edge (SSE) | Les services financiers peuvent implémenter des contrôles pour protéger l’accès à l’Internet public et aux réseaux privés à l’aide de l’accès sécurisé global | RTS sur les frameworks de gestion des risques liés aux TIC :
|
| Ressources liées à l’acquisition, au développement et à la maintenance d’applications | Les services financiers peuvent inclure les aspects suivants dans le cadre de l’acquisition ou de la création de nouvelles applications :
|
RTS sur les frameworks de gestion des risques liés aux TIC :
|