Outil d’automatisation de la conformité des applications pour Microsoft 365
Dans cet article, vous allez découvrir l’outil d’automatisation de la conformité des applications pour Microsoft 365 (ACAT) et comment il simplifie la conformité et l’obtention de la certification Microsoft 365.
Remarque
ACAT est actuellement en préversion publique et prend uniquement en charge les applications basées sur Microsoft Azure et Amazon Web Services (AWS). Les futures mises à jour incluront des fonctionnalités pour les applications basées sur d’autres clouds.
Remarque
Si vous souhaitez envoyer des commentaires à la préversion publique ACAT, remplissez ce formulaire. L’équipe produit ACAT effectuera un suivi avec vous dès que possible une fois que nous aurons obtenu vos messages.
Présentation de l’outil d’automatisation de la conformité des applications pour Microsoft 365
L’outil d’automatisation de la conformité des applications pour Microsoft 365 (ACAT) est un service dans Portail Azure qui permet de simplifier le parcours de conformité pour toute application qui consomme des données client Microsoft 365 et qui est publiée via l’Espace partenaires. Il s’agit d’un outil d’automatisation de conformité centré sur l’application qui vous aide à effectuer la certification Microsoft 365 avec plus de facilité et de commodité.
Avec cet outil, vous serez rapidement en mesure de définir la limite de conformité de vos applications, de surveiller automatiquement les résultats de conformité et d’effectuer l’audit de conformité plus facilement. La limite de conformité est l’infrastructure cloud qui prend en charge la livraison de l’application et tous les systèmes back-end avec ants avec 2000.
En plus de fournir un suivi plus rapide vers la certification Microsoft 365, ACAT peut vous aider dans différents scénarios de conformité pour les applications Microsoft 365 :
- Vue détaillée et étapes de correction pour les responsabilités de la certification Microsoft 365.
- Rapports quotidiens automatiques des évaluations de conformité pour maintenir la conformité continue de vos applications.
- Bonnes pratiques de sécurité et de conformité qui peuvent être utilisées comme conseils dans la phase initiale du cycle de vie de votre application.
Avantages d’ACAT
Parcours de conformité centré sur l’application.
- ACAT signale des évaluations de conformité pour l’environnement cloud de vos applications, que vous pouvez intégrer à votre stratégie de conformité d’infrastructure cloud actuelle.
- Les développeurs peuvent appeler ACAT même pendant la phase de développement de l’application pour identifier les risques de conformité potentiels à un stade précoce.
Accélère le processus de certification Microsoft 365.
- ACAT automatise entièrement certains contrôles de certification Microsoft 365.
- Il existe une liste d’automatisation en constante évolution qui est activement développée par Microsoft.
Intégration native au workflow de certification Microsoft 365.
- ACAT est entièrement intégré à l’Espace partenaires à des fins de certification Microsoft 365.
Maintenez votre application ou votre environnement conforme en continu.
- ACAT garantit des mises à jour quotidiennes des évaluations de conformité, en les adaptant à votre paramètre de temps de déclencheur spécifié.
- ACAT vous permet d’intégrer en toute transparence les évaluations de conformité dans GitHub Actions ou d’autres pipelines CI/CD, ce qui garantit une surveillance continue.
Concepts d’ACAT
Rapport de conformité réglementaire
Dans ACAT, vous pouvez auditer les status de conformité de l’application en créant un rapport de conformité pour celle-ci. Vous pouvez définir la limite de conformité de votre application en spécifiant les ressources cloud qui génèrent l’application. Créez plusieurs rapports pour une application, en fonction de différents environnements et phases de développement.
Une fois le rapport créé, ACAT commence à collecter les données de conformité sur votre temps de déclencheur prédéfini, puis génère les résultats de conformité sous forme de rapport pour vous. Pendant ce temps, ACAT surveille en permanence les modifications de conformité pour votre rapport de conformité, jusqu’à ce que vous choisissiez de supprimer le rapport.
Contrôle de certification Microsoft 365
ACAT accélérant la certification Microsoft 365 en automatisant les contrôles de conformité. En fonction des status d’automatisation, il existe trois types de contrôles de conformité définis dans ACAT.
- Contrôle entièrement automatisé : le contrôle de certification Microsoft est entièrement automatisé par ACAT.
- Contrôle manuel automatisé partiel : ACAT peut automatiser les responsabilités partielles du contrôle de certification Microsoft 365. Vous devez suivre les instructions fournies par ACAT pour remplir les responsabilités restantes.
- Contrôle entièrement manuel : vous devez suivre les instructions fournies par ACAT pour remplir toutes les responsabilités.
À long terme, ACAT améliore en permanence la couverture de l’automatisation des contrôles de certification Microsoft 365.
Responsabilités du client
Un ensemble de responsabilités client associées à chaque contrôle doivent être satisfaites. Il s’agit de responsabilités que vous conservez dans les domaines suivants : données, points de terminaison, compte, gestion des accès, etc.
Responsabilité manuelle du client : vous devez préparer vos preuves de conformité et les charger sur ACAT. ACAT transfère ensuite vos preuves à l’Espace partenaires lorsque vous soumettez votre rapport ACAT.
Responsabilité client d’évaluation automatisée : ACAT peut collecter des données pour chaque responsabilité et fournir un résultat d’évaluation. Vous devez traiter les ressources non saines en les corrigeant ou en fournissant des preuves de conformité supplémentaires pour justifier l’état actuel de la ressource.
Responsabilité client de collecte automatisée de preuves : pour les rapports contenant des ressources prises en charge par la fonctionnalité de collecte de preuves automatisée d’ACAT, ACAT offre une assistance simplifiée pour la préparation des preuves de conformité par le biais d’un processus simple de sélection par bouton. Si la liste des ressources du rapport ne contient pas de ressources prises en charge, vous conservez toujours la possibilité de charger manuellement vos preuves de conformité.
L’évaluation automatisée et les responsabilités des clients de collecte de preuves automatisées vous fournissent des actions de correction, qui sont nos recommandations pour vous aider à vous aligner sur les normes de certification Microsoft 365.
Remarque
Les responsabilités des clients de l’évaluation automatisée sont refrshées quotidiennement en fonction de l’heure de déclenchement planifiée. Toutefois, les responsabilités des clients en matière de collecte de preuves automatisée ne peuvent être actualisées qu’à la demande en cliquant sur le bouton « Collecte automatisée de preuves par ACAT ».
Comprendre les status de conformité des contrôles de certification Microsoft 365
Dans le rapport de conformité réglementaire, ACAT définit les responsabilités du client pour chaque contrôle entièrement automatisé et contrôle manuel automatisé partiel. Il existe deux états de conformité pour la responsabilité du client.
- Réussite : les ressources cloud applicables à cette responsabilité client sont saines.
- Échec : il existe au moins une ressource cloud non saine. Vous pouvez suivre les étapes de correction pour résoudre les ressources non saines.
- N/A : Aucune ressource cloud n’est applicable à la responsabilité du client, ou cette responsabilité client est considérée comme inapplicable en fonction de la configuration de l’application pour ce rapport.
- Examen de conformité des applications requis : vous collectez manuellement les preuves et les chargez dans cette responsabilité client. Un analyste effectuera un examen approfondi après avoir envoyé la demande de certification Microsoft 365 dans Microsoft Partner Network.
Les états de conformité des contrôles de certification Microsoft 365 s’appuient sur les états de conformité des responsabilités du client.
- Réussite : aucune responsabilité du client ne figure dans le status « Échec » ou « Examen de conformité des applications requis » pour ce contrôle de certification Microsoft 365.
- Échec : Au moins une responsabilité du client a échoué par rapport à ce contrôle de certification Microsoft 365.
- N/A : toutes les responsabilités du client pour ce contrôle de certification Microsoft 365 se trouvent dans le status « N/A ».
- Examen de conformité des applications requis : au moins une responsabilité du client se trouve dans « Révision de conformité des applications requise » status. Un analyste effectuera un examen approfondi après avoir envoyé la demande de certification Microsoft 365 dans Microsoft Partner Network.
FAQ
Que sont les contrôles manuels et les contrôles partiellement automatisés ?
Chaque contrôle de conformité est lié à un ensemble spécifique de responsabilités client, avec ACAT qui collecte les données de conformité en conséquence. Il est important de noter que, désormais, ACAT ne couvre pas tous les contrôles pour la certification Microsoft 365 (bien que des efforts soient en cours pour étendre la couverture). Dans le cas de contrôles partiellement automatisés, ACAT automatise des aspects spécifiques des responsabilités du client. Les résultats de l’évaluation d’un contrôle partiellement automatisé contribuent à l’audit de la certification Microsoft 365, et d’autres actions sont nécessaires de votre part pour répondre aux exigences restantes. Toutefois, pour les contrôles manuels, ACAT n’automatise actuellement aucune responsabilité du client.
Comment savoir si le contrôle est entièrement automatisé ?
ACAT améliore en permanence l’automatisation du contrôle. Voici la status actuelle de l’automatisation des contrôles.
| Domaine de sécurité | Famille de contrôles | Numéro de contrôle | État de l’automatisation ACAT | État d’ACAT Automation pour AWS |
|---|---|---|---|---|
| Sécurité opérationnelle | Formation de sensibilisation | Contrôle 1 | Manuel | Manuel |
| Sécurité opérationnelle | Protection contre les programmes malveillants - Antivirus | Contrôle 2 | Entièrement automatisé | Automatisé partiel |
| Sécurité opérationnelle | Protection contre les programmes malveillants - Contrôle d’application | Contrôle 3 | Manuel | Manuel |
| Sécurité opérationnelle | Gestion des correctifs - Mise à jour corrective & classement des risques | Contrôle 4 | Manuel | Manuel |
| Sécurité opérationnelle | Gestion des correctifs - Mise à jour corrective & classement des risques | Contrôle 5 | Automatisé partiel | Automatisé partiel |
| Sécurité opérationnelle | Analyse des vulnérabilités | Contrôle 6 | Entièrement automatisé | Automatisé partiel |
| Sécurité opérationnelle | Analyse des vulnérabilités | Contrôle 7 | Entièrement automatisé | Entièrement automatisé |
| Sécurité opérationnelle | Contrôles de sécurité réseau (NSC) | Contrôle 8 | Automatisé partiel | Manuel |
| Sécurité opérationnelle | Contrôles de sécurité réseau (NSC) | Contrôle 9 | Automatisé partiel | Collecte automatisée des preuves |
| Sécurité opérationnelle | Modifier le contrôle | Contrôle 10 | Manuel | Manuel |
| Sécurité opérationnelle | Modifier le contrôle | Contrôle 11 | Collecte automatisée des preuves | Collecte automatisée des preuves |
| Sécurité opérationnelle | Développement/déploiement de logiciels sécurisés | Contrôle 12 | Manuel | Manuel |
| Sécurité opérationnelle | Développement/déploiement de logiciels sécurisés | Contrôle 13 | Automatisé partiel | Automatisé partiel |
| Sécurité opérationnelle | Gestion des comptes | Contrôle 14 | Automatisé partiel | Automatisé partiel |
| Sécurité opérationnelle | Gestion des comptes | Contrôle 15 | Automatisé partiel | Automatisé partiel |
| Sécurité opérationnelle | Gestion des comptes | Contrôle 16 | Automatisé partiel | Automatisé partiel |
| Sécurité opérationnelle | Journalisation, révision et alertes des événements de sécurité | Contrôle 17 | Entièrement automatisé | Automatisé partiel |
| Sécurité opérationnelle | Journalisation, révision et alertes des événements de sécurité | Contrôle 18 | Entièrement automatisé | Automatisé partiel |
| Sécurité opérationnelle | Journalisation, révision et alertes des événements de sécurité | Contrôle 19 | Manuel | Manuel |
| Sécurité opérationnelle | Journalisation, révision et alertes des événements de sécurité | Contrôle 20 | Entièrement automatisé | Automatisé partiel |
| Sécurité opérationnelle | Gestion des risques liés à la sécurité des informations | Contrôle 21 | Manuel | Manuel |
| Sécurité opérationnelle | Gestion des risques liés à la sécurité des informations | Contrôle 22 | Manuel | Manuel |
| Sécurité opérationnelle | Gestion des risques liés à la sécurité des informations | Contrôle 23 | Manuel | Manuel |
| Sécurité opérationnelle | Gestion des risques liés à la sécurité des informations | Contrôle 24 | Manuel | Manuel |
| Sécurité opérationnelle | Réponse aux incidents de sécurité | Contrôle 25 | Manuel | Manuel |
| Sécurité opérationnelle | Réponse aux incidents de sécurité | Contrôle 26 | Manuel | Manuel |
| Sécurité opérationnelle | Réponse aux incidents de sécurité | Contrôle 27 | Manuel | Manuel |
| Sécurité opérationnelle | Plan de continuité d’activité (BCP) et plan de récupération d’urgence | Contrôle 28 | Collecte automatisée des preuves | Manuel |
| Sécurité opérationnelle | Plan de continuité d’activité (BCP) et plan de récupération d’urgence | Contrôle 29 | Collecte automatisée des preuves | Manuel |
| Sécurité opérationnelle | Plan de continuité d’activité (BCP) et plan de récupération d’urgence | Contrôle 30 | Manuel | Manuel |
| Gestion des données - Sécurité & Confidentialité | Données en transit | Contrôle 1 | Entièrement automatisé | Entièrement automatisé |
| Gestion des données - Sécurité & Confidentialité | Données en transit | Contrôle 2 | Entièrement automatisé | Entièrement automatisé |
| Gestion des données - Sécurité & Confidentialité | Données au repos | Contrôle 3 | Entièrement automatisé | Entièrement automatisé |
| Gestion des données - Sécurité & Confidentialité | Conservation, sauvegarde et élimination des données | Contrôle 4 | Manuel | Manuel |
| Gestion des données - Sécurité & Confidentialité | Conservation, sauvegarde et élimination des données | Contrôle 5 | Manuel | Manuel |
| Gestion des données - Sécurité & Confidentialité | Conservation, sauvegarde et élimination des données | Contrôle 6 | Collecte automatisée des preuves | Manuel |
| Gestion des données - Sécurité & Confidentialité | Conservation, sauvegarde et élimination des données | Contrôle 7 | Automatisé partiel | Manuel |
| Gestion des données - Sécurité & Confidentialité | Gestion de l’accès aux données | Contrôle 8 | Collecte automatisée des preuves | Manuel |
| Gestion des données - Sécurité & Confidentialité | Gestion de l’accès aux données | Contrôle 9 | Manuel | Manuel |
| Gestion des données - Sécurité & Confidentialité | Confidentialité | Contrôle 10 | Manuel | Manuel |
| Gestion des données - Sécurité & Confidentialité | Confidentialité | Contrôle 11 | Collecte automatisée des preuves | Manuel |
| Gestion des données - Sécurité & Confidentialité | RGPD | Contrôle 12 | Collecte automatisée des preuves | Manuel |
| Gestion des données - Sécurité & Confidentialité | RGPD | Contrôle 13 | Manuel | Manuel |
| Gestion des données - Sécurité & Confidentialité | HIPAA | Contrôle 14 | Manuel | Manuel |
| Gestion des données - Sécurité & Confidentialité | HIPAA | Contrôle 15 | Manuel | Manuel |
Remarque
L’état d’automatisation ACAT exprime l’étendue de l’automatisation qu’ACAT peut vous aider à préparer la preuve de conformité pour un contrôle.
- Manuel : vous devez préparer manuellement toutes les preuves de conformité pour chaque responsabilité client sous ce contrôle.
- Automatisé partiel : ce contrôle a une combinaison de responsabilités du client, notamment les évaluations automatisées, la collecte automatisée de preuves et les responsabilités manuelles des clients. Vous devez corriger les responsabilités des clients défaillantes et tirer parti de la fonctionnalité de collecte automatisée de preuves pour la collecte de preuves. Pour les responsabilités manuelles, assurez-vous de fournir les preuves de conformité nécessaires et de les charger dans l’ACAT.
- Entièrement automatisé : toutes les responsabilités du client sous ce contrôle sont des responsabilités client d’évaluation automatisée ou des responsabilités client de collecte de preuves automatisées.
Pourquoi la responsabilité du client échoue-t-elle ?
Il existe plusieurs raisons possibles de l’échec de la responsabilité du client :
- Il est vivement recommandé de remplir d’abord les paramètres de configuration de l’application, car ACAT ajuste les status par défaut de certains contrôles en fonction de votre configuration.
- Pour les cas de responsabilité manuelle du client, le status par défaut est défini sur « échec » pour vous rappeler de suivre l’exemple de guide de preuve pour collecter et charger manuellement les preuves.
- Pour les cas de responsabilité client de collecte de preuves automatisée, vous pouvez adopter la solution ACAT dans
Remidiation stepspour chaque responsabilité client, puis déclencher ACAT pour collecter automatiquement des preuves. Vous pouvez également suivre l’exemple de guide de preuve pour collecter et charger manuellement des preuves pour votre propre solution. - Pour les cas de responsabilité client d’évaluation automatisée, vous pouvez suivre les solutions ACAT dans
Remidiation stepspour chaque responsabilité client ou suivre l’exemple de guide de preuve pour collecter et charger manuellement des preuves pour votre propre solution.
Conseil
La résolution de toutes les défaillances dans ACAT n’est pas obligatoire. Vous pouvez choisir de conserver les status « ayant échoué » dans ACAT et de charger votre propre preuve dans l’Espace partenaires après avoir lancé une révision de certification. Cela vous permettra de discuter d’abord des problèmes ou des questions pour un contrôle spécifique avec votre auditeur.
Pourquoi ACAT affiche-t-il un message d’avertissement me demandant de confirmer les modifications apportées aux paramètres de configuration de l’application ?
Le application configuration paramètre est important, car ACAT ajuste les status par défaut de certains contrôles en fonction de votre configuration. Par exemple, certains contrôles sont remplacés par « N/A » status par défaut.
Lorsque vous modifiez les application configuration paramètres, ACAT les vérifie par rapport aux ressources cloud que vous avez sélectionnées et affiche un message d’avertissement si votre configuration est incorrecte. Le réviseur de certification examine également ces paramètres au cours de la Initial Document Submission phase de certification Microsoft 365.
J’ai fait la base des modifications suggérées sur la suggestion de correction, mais le contrôle échoue toujours
Après avoir pris des mesures correctives pour résoudre l’échec, accordez à ACAT le temps de récupérer les résultats d’évaluation mis à jour pour status de contrôle. Les évaluations sont effectuées toutes les 24 heures, en fonction de votre temps de déclenchement prédéterminé.
La preuve est-elle stockée dans ACAT ?
Avant de charger manuellement des preuves dans ACAT ou d’autoriser ACAT à collecter automatiquement des preuves, vous êtes invité à configurer votre propre compte de stockage en tant que référentiel de preuves via le Evidence Repository paramètre . Toutes les preuves sont stockées dans votre compte de stockage désigné. Une fois que vous avez envoyé la révision de certification Microsoft 365 dans l’Espace partenaires, en sélectionnant un rapport ACAT spécifique, ACAT vous aide à envoyer le rapport de conformité ACAT, à collecter automatiquement des preuves et à charger manuellement les preuves vers le réviseur de certification automatiquement.
Comment le rapport de conformité est-il utilisé dans le processus de certification ?
ACAT est intégré en toute transparence à l’Espace partenaires pour effectuer votre parcours de certification Microsoft 365. En savoir plus sur l’utilisation du rapport de conformité pour accélérer la certification Microsoft 365