Analyses compliance
Maintenu par : Aether365 Team Public : Administrateurs sécurité et responsables compliance Périmètre : Exécution des analyses compliance, référentiels couverts et structure des résultats
Les analyses compliance évaluent votre tenant Microsoft 365 par rapport à des référentiels de sécurité établis. Chaque référentiel est maintenu par une autorité de sécurité et définit des contrôles que les organisations devraient mettre en oeuvre pour réduire les risques.
Référentiels pris en charge
Versions des référentiels
Aether365 suit en permanence la dernière version publiée de chaque référentiel. Le moteur de compliance est mis à jour automatiquement à mesure que les autorités de sécurité publient de nouvelles révisions, afin que vos analyses reflètent la norme en vigueur sans aucune action de votre part. Les numéros de version ci-dessous indiquent la version de référence en vigueur au moment de la rédaction.
CIS Microsoft 365 Foundations Benchmark (v5.0)
Maintenu par le Center for Internet Security, ce référentiel est la norme de sécurité M365 la plus largement utilisée. Il couvre :
- Compte et authentification - Exigences MFA, politiques de mots de passe, authentification ancienne
- Azure Active Directory / Entra ID - Accès conditionnel, attributions de rôles, accès privilégié
- Sécurité des e-mails - Anti-hameçonnage, anti-spam, DKIM, DMARC, SPF
- Microsoft Teams - Accès externe, paramètres invités, stratégies de réunion
- Microsoft 365 Apps - Paramètres de macros, stratégies de compléments
- Journalisation d'audit - Audit des boîtes aux lettres, journal d'audit unifié
Les contrôles CIS sont classés Niveau 1 (L1) ou Niveau 2 (L2) :
| Niveau | Signification |
|---|---|
| L1 | Recommandé pour toutes les organisations. Impact minimal sur les opérations. |
| L2 | Sécurité renforcée, peut affecter la convivialité. Recommandé pour les environnements sensibles. |
Les identifiants de contrôle suivent le format CIS.M365.{section}.{sous-section}.{item} - par exemple, CIS.M365.1.1.1.
EIDSCA (Entra ID Security Config Analyzer)
EIDSCA se concentre spécifiquement sur la configuration d'Entra ID (anciennement Azure Active Directory). Il couvre des domaines non entièrement traités par le CIS, notamment :
- Méthodes d'authentification (SSPR, stratégies d'enregistrement MFA)
- Lacunes dans les stratégies d'accès conditionnel
- Paramètres de Privileged Identity Management (PIM)
- Durée de vie des tokens et contrôles de session
- Paramètres invités et identités externes
CISA SCuBA M365 Security Baseline
Publié par la U.S. Cybersecurity and Infrastructure Security Agency, SCuBA (Secure Cloud Business Applications) définit le référentiel de sécurité du gouvernement fédéral pour M365. Il est structuré par produit :
- Microsoft Entra ID (AAD)
- Microsoft Defender for Office 365
- Exchange Online
- Microsoft Teams
- SharePoint Online et OneDrive
- Microsoft 365 Apps
SCuBA est particulièrement pertinent pour les organisations dans les secteurs réglementés ou collaborant avec les agences fédérales américaines.
NIS2
NIS2 est la directive européenne sur les réseaux et les systèmes d'information (2022/2502). Aether365 fait correspondre les contrôles de configuration M365 aux exigences techniques pertinentes de NIS2, aidant les organisations de l'Union européenne à démontrer leur conformité avec :
- Contrôle d'accès et authentification (Article 21)
- Gestion des incidents et journalisation des événements de sécurité
- Contrôles de continuité d'activité
- Paramètres de sécurité de la chaîne d'approvisionnement
Catégories de résultats
Chaque contrôle renvoie l'un des trois résultats :
| Résultat | Signification |
|---|---|
| Réussi | Le contrôle est correctement configuré |
| Échoué | Le contrôle n'est pas respecté - la remédiation est recommandée |
| Ignoré | Le contrôle n'est pas applicable à la configuration ou à la licence de votre tenant |
Niveaux de sévérité
En plus des niveaux L1/L2 (CIS), chaque contrôle se voit attribuer une sévérité par Aether365 :
| Sévérité | Description |
|---|---|
| Critique | Risque d'exploitation directe ou vecteur d'attaque courant |
| Élevé | Risque significatif, à remédier rapidement |
| Moyen | Risque existant mais atténué par d'autres contrôles |
| Faible | Bonne pratique, risque immédiat moindre |
Instructions de remédiation
Chaque contrôle échoué inclut :
- Une explication en langage clair de la raison de l'échec du contrôle
- Des instructions pas à pas pour le corriger dans le centre d'administration Microsoft 365 ou le portail Azure
- Un lien vers la documentation officielle de Microsoft
Avertissement
Les résultats des analyses compliance d'Aether365 sont fournis à titre informatif et dans une optique d'amélioration de la sécurité. Il s'agit de recommandations automatisées fondées sur votre configuration Microsoft 365 : elles ne constituent ni une certification, ni une attestation, ni une garantie juridique de conformité à un quelconque référentiel, norme ou réglementation (y compris CIS, EIDSCA, CISA SCuBA, NIS2 ou GDPR).
- Aether365 lit uniquement les métadonnées de configuration. Il ne traite, ne stocke ni n'analyse votre contenu métier, vos e-mails, vos fichiers ou les données personnelles de vos utilisateurs finaux pour produire ces résultats, et aucune donnée client n'est jamais transmise à des services d'AI ou d'apprentissage automatique.
- Un résultat réussi signifie qu'un contrôle était configuré comme attendu au moment de l'analyse. Il ne certifie pas que votre organisation est conforme à une loi ou à une réglementation.
- Vous demeurez seul responsable de la conformité réglementaire de votre organisation, de l'interprétation des résultats d'analyse et des suites à y donner, ainsi que de toute amende, pénalité ou sanction découlant de vos obligations réglementaires.
Pour une certification formelle ou une évaluation juridique de votre posture de conformité, consultez un auditeur qualifié ou un conseiller juridique.