Microsoft Defender for Cloud aide à rationaliser le processus visant à satisfaire les exigences de conformité réglementaire, en utilisant le tableau de bord de conformité réglementaire. Defender for Cloud évalue en continu votre environnement cloud hybride pour analyser les facteurs de risque selon les contrôles et les bonnes pratiques des normes que vous avez appliquées à vos abonnements. Le tableau de bord reflète l’état de votre conformité à ces normes.

Lorsque vous activez Defender for Cloud sur un abonnement Azure, le Microsoft Cloud Security Benchmark est automatiquement attribué à cet abonnement. Ce référentiel largement reconnu s’appuie sur les contrôles du Center for Internet Security (CIS), de PCI‑DSS et du National Institute of Standards and Technology (NIST), avec un accent particulier sur la sécurité centrée sur le cloud.

Le tableau de bord de conformité réglementaire affiche l’état de toutes les évaluations dans votre environnement pour les normes et réglementations que vous avez choisies. À mesure que vous suivez les recommandations et réduisez les facteurs de risque dans votre environnement, votre posture de conformité s’améliore.

Évaluer votre conformité réglementaire

Le tableau de bord de conformité réglementaire affiche vos normes de conformité sélectionnées avec toutes leurs exigences, lorsque les exigences prises en charge sont associées aux évaluations de sécurité applicables. Le statut de ces évaluations reflète votre conformité à la norme.

Utilisez le tableau de bord de conformité réglementaire pour concentrer votre attention sur les lacunes de conformité par rapport aux normes et réglementations que vous avez choisies. Cette vue ciblée vous permet également de surveiller continuellement votre conformité au fil du temps dans des environnements cloud et hybrides dynamiques.

Le tableau de bord vous fournit une vue d’ensemble de votre état de conformité et de l’ensemble des réglementations prises en charge. Vous verrez votre score de conformité global, ainsi que le nombre d’évaluations réussies et échouées associées à chaque norme.

Exemple : Microsoft Defender for Cloud – Tableau de bord de conformité réglementaire

La liste suivante contient un élément numéroté correspondant à chaque emplacement dans l’image ci‑dessus, et décrit ce qui s’y trouve :

1. Sélectionnez une norme de conformité pour afficher la liste de tous les contrôles associés à cette norme.
2. Affichez l’abonnement ou les abonnements auxquels la norme de conformité est appliquée.
3. Sélectionnez un contrôle pour afficher plus de détails. Développez le contrôle pour afficher les évaluations associées au contrôle sélectionné. Sélectionnez une évaluation pour afficher la liste des ressources associées et les actions permettant de corriger les problèmes de conformité.
4. Sélectionnez “Détails du contrôle” pour afficher les onglets Vue d’ensemble, Vos actions et Actions Microsoft.
5. Dans l’onglet Vos actions, vous pouvez voir les évaluations automatisées associées au contrôle.
6. Les évaluations automatisées indiquent le nombre de ressources ayant échoué et les types de ressources, et vous redirigent directement vers l’expérience de remédiation pour traiter ces recommandations.
7. Les recommandations vous donnent des suggestions pour mieux sécuriser vos ressources. Vous mettez en œuvre une recommandation en suivant les étapes de remédiation fournies dans la recommandation.

Étapes de remédiation

Après avoir examiné toutes les recommandations, décidez laquelle corriger en premier. Nous vous recommandons de donner la priorité aux contrôles de sécurité ayant le plus fort potentiel d’amélioration de votre score de sécurité.

1. Dans la liste, sélectionnez une recommandation.
2. Suivez les instructions de la section Étapes de remédiation. Chaque recommandation possède son propre ensemble d’instructions.

La capture d’écran suivante montre des étapes de remédiation pour configurer des applications afin de n’autoriser le trafic qu’en HTTPS.

Remédier à une évaluation automatisée

La conformité réglementaire comporte à la fois des évaluations automatisées et des évaluations manuelles qui peuvent nécessiter une remédiation. En utilisant les informations du tableau de bord de conformité réglementaire, vous pouvez améliorer votre posture de conformité en résolvant les recommandations directement depuis le tableau de bord.

Pour remédier à une évaluation automatisée

1. Connectez‑vous au portail Azure.
2. Accédez à Defender for Cloud, puis cliquez sur Conformité réglementaire.
3. Sélectionnez une norme de conformité réglementaire.
4. Sélectionnez un contrôle de conformité pour le développer.
5. Sélectionnez l’une des évaluations en échec qui apparaissent dans le tableau de bord pour afficher les détails de la recommandation.
   Chaque recommandation inclut un ensemble d’étapes de remédiation pour résoudre le problème.
6. Sélectionnez une ressource particulière pour afficher plus de détails et résoudre la recommandation pour cette ressource.
   Par exemple, dans la norme Azure CIS 1.1.0, sélectionnez la recommandation :
   Disk encryption should be applied on virtual machines (Le chiffrement de disque doit être appliqué sur les machines virtuelles).

Dans cet exemple, lorsque vous sélectionnez Prendre des mesures (Take action) depuis la page des détails de la recommandation, vous êtes dirigé vers les pages Machines virtuelles Azure du portail Azure, où vous pouvez activer le chiffrement à partir de l’onglet Sécurité.

Pour plus d’informations sur la façon d’appliquer les recommandations, consultez Implémentation des recommandations de sécurité dans Microsoft Defender for Cloud.

Après avoir pris des mesures pour résoudre les recommandations, vous verrez le résultat dans le rapport du tableau de bord de conformité, car votre score de conformité s’améliore.
Les évaluations s’exécutent environ toutes les 12 heures, donc vous ne verrez l’impact sur vos données de conformité qu’après la prochaine exécution de l’évaluation concernée.

Remédier à une évaluation manuelle

La conformité réglementaire comporte des évaluations automatisées et manuelles qui peuvent nécessiter une remédiation.
Les évaluations manuelles sont celles qui nécessitent une intervention du client pour les corriger.

Pour remédier à une évaluation manuelle

1. Connectez‑vous au portail Azure.
2. Accédez à Defender for Cloud, puis cliquez sur Conformité réglementaire.
3. Sélectionnez une norme de conformité réglementaire.
4. Sélectionnez un contrôle de conformité pour le développer.
5. Sous la section Attestation manuelle et preuves (Manual attestation and evidence), sélectionnez une évaluation.
6. Sélectionnez les abonnements concernés.
7. Sélectionnez Attester (Attest).
8. Saisissez les informations pertinentes et joignez les preuves de conformité.
9. Sélectionnez Enregistrer (Save).

Unité suivante : Évaluation du module (Module assessment)