Comparaison des référentiels
Maintenu par : Aether365 Team Public : Administrateurs de sécurité et responsables de la conformité Périmètre : Comparaison côte à côte des référentiels CIS, EIDSCA, CISA SCuBA et NIS2
Comparaison côte à côte des quatre référentiels de sécurité pris en charge par Aether365.
Vue d'ensemble
| CIS | EIDSCA | CISA SCuBA | NIS2 | |
|---|---|---|---|---|
| Nom complet | CIS Microsoft 365 Foundations Benchmark | Entra ID Security Config Analyzer | Secure Cloud Business Applications M365 Baseline | Directive européenne sur les réseaux et systèmes d'information 2 |
| Publié par | Center for Internet Security | Microsoft (open-source) | CISA (agence fédérale américaine) | Union européenne |
| Public principal | Organisations commerciales mondiales | Organisations utilisant Entra ID | Agences fédérales américaines | Entités essentielles/importantes de l'UE |
| Domaine ciblé | Configuration M365 large | Sécurité des identités Entra ID | M365 produit par produit | Gestion des risques cybersécurité |
| Nombre de contrôles | ~100 | ~80 | ~150 | ~50 |
| Fréquence de mise à jour | Versions majeures tous les 12-18 mois | Continue (GitHub) | Versions majeures annuelles | Cycle législatif |
| Licence | Utilisation libre | Open-source (MIT) | Domaine public | Réglementation UE |
CIS Microsoft 365 Foundations Benchmark
Idéal pour : Les organisations qui souhaitent un référentiel reconnu commercialement et accepté par les auditeurs.
Les référentiels CIS sont la norme de facto dans les programmes de sécurité commerciaux. Le benchmark M365 couvre :
- Compte et authentification - MFA, authentification ancienne, politiques de mots de passe
- Paramètres du Centre d'administration Microsoft 365 - accès invité, partage, collaboration externe
- Exchange Online - authentification des e-mails (SPF, DKIM, DMARC), règles de flux de courrier, anti-hameçonnage
- SharePoint Online et OneDrive - paramètres de partage, contrôles d'accès externe
- Microsoft Teams - politiques de réunion, accès invité, fédération externe
- Entra ID - accès conditionnel, attributions de rôles, paramètres de sécurité par défaut
Niveaux de profil :
| Niveau | Description |
|---|---|
| L1 | Contrôles fondamentaux. À implémenter en premier. Faible risque de perturbation. |
| L2 | Sécurité renforcée. Peut nécessiter planification et communication aux utilisateurs. |
Les contrôles Aether365 incluent le niveau de profil dans chaque résultat afin que vous puissiez prioriser L1 en premier.
EIDSCA (Entra ID Security Config Analyzer)
Idéal pour : Les organisations qui souhaitent une couverture approfondie de la sécurité des identités au-delà de ce que couvre le CIS.
EIDSCA a été co-développé avec des ingénieurs Microsoft et cible spécifiquement la configuration d'Entra ID. Il couvre des domaines que le CIS omet ou ne couvre que partiellement :
- Privileged Identity Management (PIM) - accès juste-à-temps, paramètres d'activation des rôles
- Méthodes d'authentification - FIDO2, paramètres de l'application d'authentification, Windows Hello
- Politiques d'accès conditionnel - conformité des appareils, risque de connexion, risque utilisateur
- Gouvernance des applications - permissions des applications OAuth, politiques de consentement
- Paramètres de sécurité par défaut et référentiel - recommandations de référentiel propres à Microsoft
- Protection des identités - politiques de risque, détection d'identifiants compromis
Les contrôles EIDSCA correspondent aux catégories Secure Score dans Microsoft Entra et complètent les contrôles CIS avec une couverture Entra ID plus fine.
CISA SCuBA M365 Security Baseline
Idéal pour : Les agences fédérales américaines soumises aux directives CISA ; les organisations qui souhaitent une couverture complète au niveau produit.
SCuBA (Secure Cloud Business Applications) est structuré par produit M365 plutôt que par catégorie de sécurité :
| Référentiel produit | Couverture |
|---|---|
| AAD (Azure Active Directory) | Identité, MFA, accès conditionnel |
| Exchange Online | Sécurité des e-mails, anti-hameçonnage, flux de courrier |
| Teams | Sécurité des réunions, accès invité, perte de données |
| SharePoint et OneDrive | Partage, accès externe, DLP |
| Power Platform | Politiques de création d'applications, accès invité |
| Defender for Office 365 | Politiques ATP, Safe Links, Safe Attachments |
Chaque section produit contient des politiques obligatoires et optionnelles. Aether365 indique clairement les politiques optionnelles dans le détail des résultats.
SCuBA cible techniquement les agences fédérales américaines (systèmes couverts par FISMA) mais les politiques sont largement applicables à toute organisation.
NIS2 (Directive européenne sur les réseaux et systèmes d'information 2)
Idéal pour : Les organisations basées dans l'UE qui exploitent des services essentiels ou importants et doivent démontrer leur conformité NIS2.
NIS2 est un cadre réglementaire, pas un référentiel technique. Il spécifie des catégories de contrôles que les organisations doivent mettre en oeuvre - il ne prescrit pas de valeurs de configuration exactes. Les contrôles NIS2 d'Aether365 font correspondre la configuration M365 aux exigences des articles NIS2 :
| Article NIS2 | Catégorie de contrôle | Exemples de contrôles M365 |
|---|---|---|
| Art. 21(2)(a) | Gestion des risques | Politiques de sécurité, journalisation d'audit |
| Art. 21(2)(b) | Gestion des incidents | Politiques d'alerte, rétention du journal d'audit |
| Art. 21(2)(c) | Continuité d'activité | Sauvegarde, paramètres de rétention des données |
| Art. 21(2)(d) | Sécurité de la chaîne d'approvisionnement | Permissions des applications tierces |
| Art. 21(2)(e) | Sécurité des acquisitions | Politiques de consentement d'application |
| Art. 21(2)(f) | Contrôle d'accès | MFA, accès privilégié, PIM |
| Art. 21(2)(g) | Cryptographie | Paramètres de chiffrement, politique TLS |
| Art. 21(2)(h) | Sécurité RH | Départ des employés, revue des comptes invités |
| Art. 21(2)(i) | Authentification | MFA, politiques de mots de passe, authentification ancienne |
Important : Réussir les contrôles NIS2 dans Aether365 ne certifie pas la conformité NIS2. La conformité NIS2 nécessite des processus organisationnels, des évaluations juridiques et des obligations de notification au-delà de la configuration technique. Les contrôles NIS2 d'Aether365 vous donnent l'assurance que votre configuration M365 ne contredit pas les exigences NIS2.
Quel référentiel utiliser ?
Vous n'avez pas besoin d'en choisir un seul. Aether365 exécute tous les référentiels et présente les résultats ensemble. Il existe un chevauchement significatif entre les référentiels - un même paramètre de configuration peut être vérifié par CIS, EIDSCA et CISA. Aether365 déduplique les contrôles qui se chevauchent et affiche chaque résultat une seule fois avec des références croisées vers chaque référentiel qui le couvre.
Recommandations pour commencer :
| Situation | Commencer par |
|---|---|
| Aucune expérience préalable des référentiels | CIS L1 - fondamental et largement compris |
| Priorité à la sécurité des identités | EIDSCA - couverture Entra ID la plus approfondie |
| Agence fédérale américaine ou secteur connexe | CISA SCuBA |
| Exigence réglementaire UE | NIS2, puis combler les lacunes avec CIS |
| Besoin de passer un audit de sécurité | CIS - le plus reconnu par les auditeurs externes |
| Couverture la plus complète | Exécuter les quatre référentiels simultanément |
Nombre de contrôles par référentiel
Le nombre de contrôles varie selon les mises à jour des référentiels. Nombre approximatif actuel dans Aether365 :
| Référentiel | Total de contrôles | Taux de réussite typique (PME) | Taux de réussite typique (Entreprise) |
|---|---|---|---|
| CIS (L1) | ~60 | 55-70% | 70-85% |
| CIS (L1+L2) | ~100 | 45-65% | 65-80% |
| EIDSCA | ~80 | 50-65% | 65-80% |
| CISA SCuBA | ~150 | 40-60% | 60-75% |
| NIS2 | ~50 | 55-70% | 70-85% |
Les taux de réussite sont des estimations indicatives. Votre taux dépend fortement de votre configuration existante, de vos licences et de la mise en place ou non de politiques d'accès conditionnel.