Référentiels compliance
Maintenu par : Aether365 Team Public : Administrateurs sécurité et responsables compliance Périmètre : Descriptions des référentiels CIS, EIDSCA, CISA SCuBA et NIS2
Aether365 évalue votre tenant Microsoft 365 par rapport à quatre référentiels de sécurité établis. Chaque référentiel est maintenu par une autorité différente et possède un périmètre, un public cible et un domaine de focus distincts.
CIS Microsoft 365 Foundations Benchmark
Maintenu par : Center for Internet Security (CIS) Version : v3.0 Public : Toutes les organisations utilisant Microsoft 365 Périmètre : Sécurité des comptes, Entra ID, Exchange, Teams, SharePoint, journalisation d'audit
Le CIS est le référentiel de sécurité M365 le plus largement adopté. Il définit un ensemble de contrôles clairs et exploitables, chacun accompagné de recommandations de mise en oeuvre détaillées. Les contrôles sont classés en Niveau 1 ou Niveau 2 :
| Niveau | Description | Quand l'appliquer |
|---|---|---|
| L1 | Contrôles fondamentaux avec un impact opérationnel minimal | Toutes les organisations |
| L2 | Contrôles plus stricts pouvant affecter l'expérience utilisateur | Environnements sensibles en sécurité |
Format d'identifiant : CIS.M365.{section}.{sous-section}.{item} - par exemple, CIS.M365.1.1.1
Les contrôles CIS couvrent les sections 1 à 9 du référentiel, notamment :
- Section 1 : Gestion des identités et des accès
- Section 2 : Microsoft Entra ID
- Section 3 : Applications Microsoft 365
- Section 4 : Microsoft Teams
- Section 5 : Sécurité des e-mails (Exchange Online)
- Section 6 : SharePoint Online
- Section 7 : OneDrive
- Section 8 : Microsoft Defender
- Section 9 : Journalisation d'audit
EIDSCA (Entra ID Security Config Analyzer)
Maintenu par : Microsoft et la communauté open source Public : Organisations avec une utilisation significative d'Entra ID Périmètre : Configuration approfondie d'Entra ID
EIDSCA se concentre spécifiquement sur Entra ID (anciennement Azure Active Directory) et couvre des domaines que le CIS ne traite pas avec le même niveau de détail. Domaines clés :
- Enregistrement des méthodes d'authentification et stratégies SSPR
- Lacunes dans l'accès conditionnel et couverture des stratégies de base
- Configuration de Privileged Identity Management (PIM)
- Durée de vie des tokens et contrôles de session
- Paramètres des utilisateurs invités et de la collaboration B2B
- Paramètres de confiance des fournisseurs d'identité externes
EIDSCA est particulièrement utile si votre organisation s'appuie fortement sur les fonctionnalités d'Entra ID telles que Privileged Identity Management, la collaboration externe ou les flux d'authentification personnalisés.
Format d'identifiant : EIDSCA.{catégorie}{numéro} - par exemple, EIDSCA.PR01
CISA SCuBA M365 Security Baseline
Maintenu par : U.S. Cybersecurity and Infrastructure Security Agency (CISA) Version : Référentiel publié actuel Public : Agences fédérales américaines et organisations collaborant avec elles ; secteurs réglementés Périmètre : Suite complète de produits M365
SCuBA (Secure Cloud Business Applications) est le référentiel de sécurité du gouvernement fédéral américain pour les plateformes de productivité cloud. Il est structuré par produit M365 plutôt que par catégorie de contrôle :
| Produit | Contrôles couverts |
|---|---|
| Microsoft Entra ID | Gestion des identités et des accès |
| Microsoft Defender for Office 365 | Stratégies de protection contre les menaces |
| Exchange Online | Transport des e-mails, anti-hameçonnage, chiffrement |
| Microsoft Teams | Accès externe, stratégies de réunion |
| SharePoint Online et OneDrive | Partage, contrôle d'accès |
| Microsoft 365 Apps | Stratégies de macros, gestion des compléments |
| Power Platform | Stratégies de connecteurs (Enterprise uniquement) |
SCuBA est pertinent au-delà des environnements fédéraux américains. Ses déclarations de stratégie claires et son format de test automatisé en font un référentiel utile pour toute organisation recherchant des recommandations rigoureuses et maintenues de manière indépendante.
Format d'identifiant : MS.{PRODUIT}.{numéro}.{sous-numéro} - par exemple, MS.AAD.1.1
NIS2
Maintenu par : Union européenne Directive : EU 2022/2502 (NIS2) Public : Organisations opérant dans l'UE, en particulier les opérateurs d'entités essentielles et importantes Périmètre : Mesures techniques et organisationnelles au titre de l'Article 21
NIS2 n'est pas un référentiel technique - c'est une directive réglementaire. Aether365 fait correspondre les contrôles de configuration M365 aux exigences techniques imposées par NIS2 au titre de l'Article 21, qui oblige les organisations à prendre des mesures appropriées pour gérer le risque de cybersécurité.
Les contrôles NIS2 dans Aether365 portent sur :
| Domaine NIS2 | Contrôles M365 |
|---|---|
| Contrôle d'accès et authentification | MFA, accès privilégié, accès conditionnel |
| Gestion des incidents | Journalisation d'audit, stratégies d'alerte, événements de sécurité |
| Continuité d'activité | Paramètres de sauvegarde et de reprise, résidence des données |
| Sécurité de la chaîne d'approvisionnement | Stratégies de consentement applicatif, connecteurs externes |
| Hygiène de cybersécurité de base | Authentification ancienne, paramètres liés aux correctifs |
Périmètre de conformité NIS2
Aether365 couvre les contrôles techniques spécifiques à M365 pertinents pour NIS2. La conformité complète à NIS2 nécessite un programme plus large de mesures techniques et organisationnelles au-delà de votre configuration M365. Les résultats d'Aether365 ne constituent pas une certification de conformité NIS2.
Comparaison des référentiels
| Dimension | CIS | EIDSCA | CISA SCuBA | NIS2 |
|---|---|---|---|---|
| Autorité | CIS | Open source / Microsoft | US CISA | Réglementation UE |
| Focus | M365 global | Profondeur Entra ID | Produit par produit | Réglementaire basé risque |
| Niveau de détail | Élevé | Très élevé | Élevé | Modéré |
| Adapté aux organisations UE | Oui | Oui | Oui | Obligatoire |
| Adapté au secteur fédéral américain | Oui | Oui | Obligatoire | Non applicable |
| Adapté à toutes les organisations | Oui | Oui | Oui | Si réglementé UE |
| Nombre de contrôles dans Aether365 | ~60 | ~40 | ~50 | ~30 |
Tous les référentiels s'exécutent dans le cadre d'une analyse compliance. Vous ne pouvez pas sélectionner de référentiels individuels par analyse - tous les contrôles applicables s'exécutent ensemble et les résultats sont étiquetés par référentiel pour le filtrage.