Calcul du score de conformitéCompliance score calculation

Dans cet article : Découvrez comment le Gestionnaire de conformité calcule un score de conformité pour votre organisation.In this article: Learn how Compliance Manager calculates a compliance score for your organization. Cet article explique comment interpréter votre score, ce que l’évaluation de référence de la protection des données inclut, une surveillance continue et comment différents types d’actions sont gérés et marqués.This article explains how to interpret your score, what the Data Protection Baseline assessment includes, continuous monitoring, and how different types of actions are managed and scored.

Important

Les recommandations du Gestionnaire de conformité ne doivent pas être interprétées comme des garanties de conformité.Recommendations from Compliance Manager should not be interpreted as a guarantee of compliance. C’est à vous d’évaluer et de valider l’efficacité des contrôles client par rapport à votre environnement réglementaire.It is up to you to evaluate and validate the effectiveness of customer controls per your regulatory environment. Ces services sont soumis aux conditions générales des conditions générales des services en ligne.These services are subject to the terms and conditions in the Online Services Terms. Voir aussi les conseils de gestion des licences Microsoft 365 pour la sécurité et la conformité.See also Microsoft 365 licensing guidance for security and compliance.

Comment lire votre score de conformitéHow to read your compliance score

Le tableau de bord du Gestionnaire de conformité affiche votre score de conformité global.The Compliance Manager dashboard displays your overall compliance score. Ce score mesure votre progression dans l’exécution des actions d’amélioration recommandées au sein des contrôles.This score measures your progress in completing recommended improvement actions within controls. Votre score peut vous aider à comprendre votre posture de conformité actuelle.Your score can help you understand your current compliance posture. Il peut également vous aider à hiérarchiser les actions en fonction de leur potentiel pour réduire les risques.It can also help you prioritize actions based on their potential to reduce risk.

Une valeur de score est affectée à trois niveaux :A score value is assigned at three levels:

  1. Score d’action d’amélioration: chaque action a un impact différent sur votre score en fonction du risque potentiel impliquéImprovement action score: each action has a different impact on your score depending on the potential risk involved

  2. Score de contrôle: ce score est la somme des points gagnés en effectuant des actions d’amélioration au sein du contrôle.Control score: this score is the sum of points earned by completing improvement actions within the control. Cette somme est appliquée entièrement à votre score de conformité global lorsque le contrôle répond aux deux conditions suivantes :This sum is applied in its entirety to your overall compliance score when the control meets both of the following conditions:

    • L’état d’implémentation est égal à Implémenté ou Autre implémentation etImplementation Status equals Implemented or Alternative Implementation, and
    • Le résultat du test est égal à Réussi.Test Result equals Passed.
  3. Score d’évaluation: ce score est la somme des scores de votre contrôle.Assessment score: this score is the sum of your control scores. Elle est calculée à l’aide de scores d’action.It is calculated using action scores. Chaque action Microsoft et chaque action d’amélioration gérée par votre organisation sont comptabilisées une seule fois, quelle que soit la fréquence de référencement dans un contrôle.Each Microsoft action and each improvement action managed by your organization is counted once, regardless of how often it is referenced in a control.

Le score de conformité global est calculé à l’aide de scores d’action, où chaque action Microsoft est comptée une fois, chaque action technique que vous gérez est comptée une seule fois et chaque action non technique que vous gérez est comptée une fois par groupe.The overall compliance score is calculated using action scores, where each Microsoft action is counted once, each technical action you manage is counted once, and each non-technical action you manage is counted once per group. Cette logique est conçue pour fournir la comptabilité la plus précise de la façon dont les actions sont implémentées et testées dans votre organisation.This logic is designed to provide the most accurate accounting of how actions are implemented and tested in your organization. Vous remarquerez peut-être que votre score de conformité global peut différer de la moyenne de vos scores d’évaluation.You may notice that this can cause your overall compliance score to differ from the average of your assessment scores. En savoir plus ci-dessous sur le score des actions.Read more below about how actions are scored.

Score initial basé sur la ligne de base de protection des données Microsoft 365Initial score based on Microsoft 365 data protection baseline

Le Gestionnaire de conformité vous donne un score initial basé sur la ligne de base de protection des données Microsoft 365.Compliance Manager gives you an initial score based on the Microsoft 365 data protection baseline. Cette ligne de base est un ensemble de contrôles qui inclut des réglementations et des normes clés pour la protection des données et la gouvernance générale des données.This baseline is a set of controls that includes key regulations and standards for data protection and general data governance. Cette ligne de base tire principalement des éléments du NIST CSF (National Institute of Standards and Technology Cybersecurity Framework) et de l’ISO (International Organization for Standardization), ainsi que du FedRAMP (Federal Risk and Authorization Management Program) et du R GDPR (Règlement général sur la protection des données de l’Union européenne).This baseline draws elements primarily from NIST CSF (National Institute of Standards and Technology Cybersecurity Framework) and ISO (International Organization for Standardization), as well as from FedRAMP (Federal Risk and Authorization Management Program) and GDPR (General Data Protection Regulation of the European Union).

Votre score initial est calculé en fonction de l’évaluation de base de la protection des données par défaut fournie à toutes les organisations.Your initial score is calculated according to the default Data Protection Baseline assessment provided to all organizations. Lors de votre première visite, le Gestionnaire de conformité collecte déjà des signaux à partir de vos solutions Microsoft 365.Upon your first visit, Compliance Manager is already collecting signals from your Microsoft 365 solutions. Vous verrez d’un coup d’œil les résultats de votre organisation par rapport aux principales normes et réglementations en matière de protection des données, ainsi que les suggestions d’actions d’amélioration à prendre.You’ll see at a glance how your organization is performing relative to key data protection standards and regulations, and see suggested improvement actions to take.

Étant donné que chaque organisation a des besoins spécifiques, le Gestionnaire de conformité s’appuie sur vous pour configurer et gérer les évaluations afin de réduire et d’atténuer les risques de manière aussi complète que possible.Because every organization has specific needs, Compliance Manager relies on you to set up and manage assessments to help minimize and mitigate risk as comprehensively as possible.

Évaluation continue des contrôles par le Gestionnaire de conformitéHow Compliance Manager continuously assesses controls

Le Gestionnaire de conformité analyse automatiquement votre environnement Microsoft 365 et détecte vos paramètres système, en mettant à jour en continu et automatiquement l’état de votre action technique.Compliance Manager automatically scans through your Microsoft 365 environment and detects your system settings, continuously and automatically updating your technical action status. Le score de sécurité Microsoft est le moteur sous-jacent qui effectue l’analyse.Microsoft Secure Score is the underlying engine that performs the monitoring.

L’état de votre action est mis à jour sur votre tableau de bord toutes les 24 heures.Your action status is updated on your dashboard every 24 hours. Une fois que vous avez suivi une recommandation pour implémenter un contrôle, l’état du contrôle est généralement mis à jour le jour suivant.Once you follow a recommendation to implement a control, you’ll typically see the control status updated the next day.

Par exemple, si vous allumez l’authentification multifacteur (MFA) dans le portail Azure AD, le Gestionnaire de conformité détecte le paramètre et le reflète dans les détails de la solution d’accès aux contrôles.For example, if you turn on multi-factor authentication (MFA) in the Azure AD portal, Compliance Manager detects the setting and reflects it in the control access solution details. À l’inverse, si vous n’avez pas activer l’ation MFA, le Gestionnaire de conformité l’indicateurs comme une action recommandée à prendre.Conversely, if you didn’t turn on MFA, Compliance Manager flags that as a recommended action for you to take.

En savoir plus sur le score de sécurité et son fonctionnement.Learn more about Secure Score and how it works.

Types et points d’actionAction types and points

Le Gestionnaire de conformité suit deux types d’actions :Compliance Manager tracks two types of actions:

  1. Vos actions d’amélioration: actions que votre organisation gère.Your improvement actions: actions that your organization manages.
  2. Actions Microsoft: actions que Microsoft gère.Microsoft actions: actions that Microsoft manages.

Les deux types d’actions ont des points qui comptent pour votre score global une fois terminé.Both types of actions have points that count toward your overall score when completed.

Actions techniques et non techniquesTechnical and non-technical actions

Les actions sont regroupées selon qu’elles sont de nature technique ou non technique.Actions are grouped by whether they are technical or non-technical in nature. L’impact sur le score de chaque action diffère selon le type.The scoring impact of each action differs by type.

  • Les actions techniques sont implémentées en interagissant avec la technologie d’une solution (par exemple, en modifiant une configuration).Technical actions are implemented by interacting with the technology of a solution (for example, changing a configuration). Les points pour les actions techniques sont accordés une fois par action, quel que soit le nombre de groupes à qui il appartient.The points for technical actions are granted once per action, regardless of how many groups it belongs to.

  • Les actions non techniques sont gérées par votre organisation et implémentées d’une manière autre que l’utilisation de la technologie d’une solution.Non-technical actions are managed by your organization and implemented in ways other than working with the technology of a solution. Il existe deux types d’actions non techniques : la documentation et l’opération.There are two types of non-technical actions: documentation and operational. Les points de ces actions sont appliqués à votre score de conformité au niveau du groupe.The points for these actions are applied to your compliance score at a group level. Cela signifie que si une action existe dans plusieurs groupes, vous recevrez la valeur de point de l’action chaque fois que vous l’implémentez au sein d’un groupe.This means that if an action exists in multiple groups, you will receive the action's point value each time you implement it within a group.

Exemple de score des actions techniques et non techniques :Example of how technical and non-technical actions are scored:

Supposons que vous avez une action technique de 3 points qui existe dans 5 groupes et que vous avez une action non technique de 3 points qui existe dans les 5 mêmes groupes.Let's say you have a technical action worth 3 points that exists in 5 groups, and you have a non-technical action worth 3 points that exists in the same 5 groups.

Si vous avez correctement implémenté l’action technique, le nombre total de points que vous recevez est de 3.If you successfully implement the technical action, the total number of points you receive is 3. Cela est dû au fait que vous n’avez besoin d’implémenter l’action qu’une seule fois pour votre client.This is because you only need to implement the action once for your tenant. L’état d’implémentation et de test de l’action technique sera identique dans toutes les instances de cette action, dans chaque groupe à qui elle appartient.The implementation and test status for the technical action will show the same in all instances of that action, in every group it belongs to.

Si vous avez correctement implémenté l’action non technique dans chacun des 5 groupes, le nombre total de points que vous recevez est de 15.If you successfully implement the non-technical action in each of the 5 groups, the total number of points you receive is 15. Cela est dû au fait que vous devez implémenter l’action dans chaque groupe.This is because you need to implement the action in each group. L’état d’implémentation et de test de l’action non technique varie selon les groupes, car l’action est implémentée séparément au sein de chacun de ses groupes.The implementation and test status for the non-technical action will differ across groups because the action is implemented separately within each of its groups.

Cette logique de notation est conçue pour fournir la comptabilité la plus précise de la façon dont les actions sont implémentées et testées dans votre organisation.This scoring logic is designed to provide the most accurate accounting of how actions are implemented and tested in your organization.

Comment les valeurs de score sont déterminéesHow score values are determined

Une valeur de score est attribuée aux actions selon qu’elles sont obligatoires ou discrétionnaires, et qu’elles soient préventives, préventives ou correctives.Actions are assigned a score value based on whether they’re mandatory or discretionary, and whether they’re preventative, detective, or corrective.

Actions obligatoires et discrétionnairesMandatory and discretionary actions

  • Les actions obligatoires ne peuvent pas être contourn es, intentionnellement ou accidentellement.Mandatory actions can't be bypassed, either intentionally or accidentally. Un exemple d’action obligatoire est une stratégie de mot de passe gérée de manière centralisée qui définit des exigences en matière de longueur, de complexité et d’expiration du mot de passe.An example of a mandatory action is a centrally managed password policy that sets requirements for password length, complexity, and expiration. Les utilisateurs doivent respecter ces exigences pour accéder au système.Users must follow these requirements to access the system.

  • Les actions discrétionnaires s’appuient sur les utilisateurs pour comprendre et adhérer à une stratégie.Discretionary actions rely upon users to understand and adhere to a policy. Par exemple, une stratégie qui oblige les utilisateurs à verrouiller leur ordinateur lorsqu’ils la quittent est une action discrétionnaire, car elle s’appuie sur l’utilisateur.For example, a policy requiring users to lock their computer when they leave it is a discretionary action because it relies on the user.

Actions préventives, de prévention et correctivesPreventative, detective, and corrective actions

  • Les actions préventives s’adressent à des risques spécifiques.Preventative actions address specific risks. Par exemple, la protection des informations au repos à l’aide du chiffrement est une action préventive contre les attaques et les violations.For example, protecting information at rest using encryption is a preventative action against attacks and breaches. La séparation des tâches est une action préventive pour gérer les conflits d’intérêts et se prémunir contre la fraude.Separation of duties is a preventative action to manage conflict of interest and guard against fraud.

  • Les actions de détection surveillent activement les systèmes pour identifier les conditions ou comportements insérez des conditions ou des comportements qui représentent un risque, ou qui peuvent être utilisés pour détecter les intrusions ou les violations.Detective actions actively monitor systems to identify irregular conditions or behaviors that represent risk, or that can be used to detect intrusions or breaches. Les exemples incluent l’audit de l’accès au système et les actions administratives privilégiées.Examples include system access auditing and privileged administrative actions. Les audits de conformité réglementaire sont un type d’action de inspecteur utilisée pour rechercher les problèmes de processus.Regulatory compliance audits are a type of detective action used to find process issues.

  • Les actions correctives tentent de limiter au minimum les effets négatifs d’un incident de sécurité, de prendre des mesures correctives pour réduire l’effet immédiat et d’annuler les dommages si possible.Corrective actions try to keep the adverse effects of a security incident to a minimum, take corrective action to reduce the immediate effect, and reverse the damage if possible. La réponse aux incidents de confidentialité est une action corrective pour limiter les dommages et restaurer les systèmes à un état opérationnel après une violation.Privacy incident response is a corrective action to limit damage and restore systems to an operational state after a breach.

Chaque action a une valeur attribuée dans le Gestionnaire de conformité en fonction du risque qu’elle représente :Each action has an assigned value in Compliance Manager based on the risk it represents:

Type (Type)Type Score attribuéAssigned score
Obligatoire préventivePreventative mandatory 2727
Discrétionnaire préventivePreventative discretionary 9
Inspecteur obligatoireDetective mandatory 3
Discrétionnaire de l’inspecteurDetective discretionary 1
Correctif obligatoireCorrective mandatory 3
Correction discrétionnaireCorrective discretionary 1

Valeurs de point d’action du Gestionnaire de conformitéCompliance Manager action point values