Scoring du Gestionnaire de conformité

Importante

Les recommandations du Gestionnaire de conformité ne doivent pas être interprétées comme des garanties de conformité. Il vous revient d’évaluer et de valider l’efficacité des contrôles clients en fonction de votre environnement réglementaire. Ces services sont soumis aux conditions générales des Conditions générales du produit. Pour plus d’informations sur la sécurité et la conformité, consultez également guide de gestion des licences Microsoft 365.

Conseil

Si vous n’êtes pas un client E5, utilisez la version d’évaluation de 90 jours des solutions Microsoft Purview pour découvrir comment des fonctionnalités Supplémentaires purview peuvent aider vos organization à gérer les besoins en matière de sécurité et de conformité des données. Commencez dès maintenant au hub d’essais portail de conformité Microsoft Purview. En savoir plus sur les conditions d’inscription et d’essai.

Comprendre votre score de conformité

Le tableau de bord du Gestionnaire de conformité affiche votre score de conformité global. Ce score mesure votre progression dans l’exécution des actions d’amélioration recommandées dans les contrôles. Votre score peut vous aider à comprendre votre posture de conformité actuelle. Il peut également vous aider à hiérarchiser les actions en fonction de leur potentiel de réduction des risques.

Une valeur de score est affectée à ces niveaux :

  1. Action d’amélioration : chaque action a un impact différent sur votre score en fonction du risque potentiel impliqué. Pour plus d’informations, consultez Types d’action et scoring ci-dessous.

  2. Évaluation : ce score est calculé à l’aide des scores d’action d’amélioration. Chaque action Microsoft et chaque action d’amélioration gérées par votre organization sont comptées une seule fois, quelle que soit la fréquence à laquelle elles sont référencées dans un contrôle.

Le score de conformité global est calculé à l’aide des scores d’action d’amélioration, où chaque action Microsoft est comptée une fois, chaque action technique que vous gérez est comptée une fois et chaque action non technique que vous gérez est comptée une fois par groupe. Cette logique est conçue pour fournir la comptabilité la plus précise de la façon dont les actions sont implémentées et testées dans votre organization. Vous remarquerez peut-être que votre score de conformité global peut différer de la moyenne de vos scores d’évaluation. En savoir plus ci-dessous sur la façon dont les actions sont notées.

Score initial basé sur la base de référence de protection des données Microsoft 365

Le Gestionnaire de conformité vous donne un score initial basé sur la base de référence de protection des données Microsoft 365. Cette base de référence est un ensemble de contrôles qui inclut des réglementations et des normes clés pour la protection des données et la gouvernance générale des données. Cette base de référence s’appuie principalement sur les éléments du NIST CSF (National Institute of Standards and Technology Cybersecurity Framework) et de l’ISO (Organisation internationale de normalisation), ainsi que du FedRAMP (Federal Risk and Authorization Management Program) et du RGPD (Règlement général sur la protection des données de l’Union européenne).

Votre score initial est calculé en fonction de l’évaluation par défaut de la base de référence de protection des données fournie à toutes les organisations. Lors de votre première visite, le Gestionnaire de conformité collecte déjà les signaux de vos solutions Microsoft 365. Vous voyez en un coup d’œil les performances de votre organization par rapport aux normes et réglementations de protection des données clés, et vous voyez les actions d’amélioration suggérées à prendre.

Étant donné que chaque organization a des besoins spécifiques, le Gestionnaire de conformité s’appuie sur vous pour configurer et gérer les évaluations afin de réduire et d’atténuer les risques de manière aussi complète que possible.

Types d’actions et scoring

Les actions d’amélioration ont des points qui sont attribués lorsque vous remplissez les conditions requises pour l’implémentation. Votre status d’action est mis à jour sur votre tableau de bord dans les 24 heures suivant une modification. Une fois que vous avez suivi une recommandation pour implémenter un contrôle, vous voyez généralement le contrôle status mis à jour le lendemain.

Des points sont attribués par action et par évaluation. Par exemple, si une action vaut 10 points mais qu’elle apparaît dans deux évaluations, l’action vaut 20 points au total pour votre locataire. Une exception concerne les actions techniques qui sont étendues à votre locataire ; Les points pour ces actions sont accordés une fois par action, quel que soit le nombre de groupes auxquels l’action appartient.

Actions pour les services pris en charge par Microsoft Defender pour le cloud

Le score global d’une action d’amélioration est basé sur la moyenne des scores reçus par ses abonnements. Chaque abonnement est noté en fonction de la status des ressources virtuelles pertinentes.

Par exemple, considérez une action avec deux abonnements, A et B. L’abonnement A a 0 ressource sur 1 terminée, et l’abonnement B a 1 ressource sur 2 terminée. Les scores d’abonnement sont les suivants : A est 0 %, B 50 %. Les deux scores d’abonnement sont calculés en moyenne pour obtenir le score d’action global de 25 %.

Comment les valeurs de score sont déterminées

Une valeur de score est attribuée aux actions selon qu’elles sont obligatoires ou discrétionnaires, et qu’elles soient préventives, détectives ou correctives.

Actions obligatoires et discrétionnaires

  • Les actions obligatoires ne peuvent pas être contournées, intentionnellement ou accidentellement. Une stratégie de mot de passe gérée de manière centralisée est un exemple d’action obligatoire qui définit des exigences en matière de longueur, de complexité et d’expiration du mot de passe. Les utilisateurs doivent respecter ces exigences pour accéder au système.

  • Les actions discrétionnaires s’appuient sur les utilisateurs pour comprendre et respecter une stratégie. Par exemple, une stratégie exigeant que les utilisateurs verrouillent leur ordinateur sans assistance est une action discrétionnaire, car elle s’appuie sur l’utilisateur.

Actions préventives, détectives et correctives

  • Les actions préventives gèrent des risques spécifiques. Par exemple, la protection des informations au repos à l’aide du chiffrement est une action préventive contre les attaques et les violations. La répartition des tâches est également une action préventive qui permet de gérer les conflits d’intérêts, puis de lutter contre la fraude.

  • Les actions de détection surveillent activement les systèmes pour identifier les conditions ou les comportements irréguliers qui représentent un risque, ou qui peuvent être utilisés pour détecter les intrusions ou les violations. Par exemple, l’audit de l’accès système et les actions d’administration privilégiées. Les audits de conformité réglementaire sont un type d’action détective utilisée pour identifier les problèmes de processus.

  • Les actions correctives tentent de limiter au minimum les effets négatifs d’un incident de sécurité, de prendre des mesures correctives pour réduire l’effet immédiat et d’annuler les dommages si possible. Une réponse à un incident de confidentialité est une action corrective visant à limiter les dommages, puis à remettre les systèmes en état de fonctionnement après une violation.

Chaque action a une valeur affectée dans le Gestionnaire de conformité en fonction du risque qu’elle représente :

Type Score attribué
Préventif obligatoire 27
Discrétionnaire préventive 9
Détective obligatoire 3
Détective discrétionnaire 1
Corrective obligatoire 3
Discrétionnaire corrective 1

Valeurs de point d’action du Gestionnaire de conformité.