Détails de l’initiative intégrée SOC (System and Organization Controls) 2 (Azure Government) Regulatory Compliance

Article
05/01/2024

L’article suivant explique comment la définition de l’initiative intégrée Azure Policy Regulatory Compliance correspond aux domaines et aux contrôles de conformité de System and Organization Controls (SOC) 2 (Azure Government). Pour plus d’informations sur cette norme de conformité, consultez les centres des opérations de sécurité (SOC) 2. Pour comprendre la propriété, consultez Définition de stratégie Azure Policy et Responsabilité partagée dans le cloud.

Les mappages suivants sont des contrôles soc (System and Organization Controls) 2. De nombreux contrôles sont mis en œuvre avec la définition d’une initiative Azure Policy. Pour examiner la définition d’initiative complète, ouvrez Stratégie dans le Portail Azure et sélectionnez la page Définitions. Ensuite, recherchez et sélectionnez la définition de l’initiative intégrée de conformité réglementaire SOC 2 Type 2.

Important

Chaque contrôle ci-dessous est associé à une ou plusieurs définitions Azure Policy. Ces stratégies peuvent vous aider à évaluer la conformité avec le contrôle ; toutefois, il n’existe pas souvent de correspondance un-à-un ou parfaite entre un contrôle et une ou plusieurs stratégies. Ainsi, la conformité dans Azure Policy fait uniquement référence aux définitions de stratégie elles-mêmes ; cela ne garantit pas que vous êtes entièrement conforme à toutes les exigences d’un contrôle. En outre, la norme de conformité comprend des contrôles qui ne sont traités par aucune définition Azure Policy pour l’instant. Par conséquent, la conformité dans Azure Policy n’est qu’une vue partielle de l’état de conformité global. Les associations entre les domaines de conformité, les contrôles et les définitions Azure Policy pour cette norme de conformité peuvent changer au fil du temps. Pour afficher l’historique des changements, consultez l’historique des validations GitHub.

Critères supplémentaires pour la disponibilité

Gestion de la capacité

ID : SOC 2 Type 2 A1.1 Propriété : Partagé

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Effectuer la planification des capacités	CMA_C1252 - Effectuer la planification des capacités	Manuel, désactivé	1.1.0

Protections environnementales, logiciels, processus de sauvegarde des données et infrastructure de récupération

ID : SOC 2 Type 2 A1.2 Propriété : Partagé

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
La sauvegarde Azure doit être activée pour les machines virtuelles	Assurez la protection de vos machines virtuelles Azure en activant la sauvegarde Azure. La Sauvegarde Azure est une solution de protection des données sécurisée et économique pour Azure.	AuditIfNotExists, Désactivé	3.0.0
Utiliser un éclairage d’urgence automatique	CMA_0209 - Utiliser un éclairage d’urgence automatique	Manuel, désactivé	1.1.0
Établir un site de traitement alternatif	CMA_0262 - Établir un site de traitement alternatif	Manuel, désactivé	1.1.0
La sauvegarde géoredondante doit être activée pour Azure Database for MariaDB	Azure Database for MariaDB vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région jumelée pour offrir une possibilité de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création du serveur.	Audit, Désactivé	1.0.1
La sauvegarde géoredondante doit être activée pour Azure Database pour MySQL	Azure Database pour MySQL vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région jumelée pour offrir une possibilité de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création du serveur.	Audit, Désactivé	1.0.1
La sauvegarde géoredondante doit être activée pour Azure Database pour PostgreSQL	Azure Database pour PostgreSQL vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région jumelée pour offrir une possibilité de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création du serveur.	Audit, Désactivé	1.0.1
Implémenter une méthodologie de test de pénétration	CMA_0306 – Implémenter une méthodologie de test de pénétration	Manuel, désactivé	1.1.0
Implémenter la sécurité physique pour les bureaux, les zones de travail et les zones sécurisées	CMA_0323 - Implémenter la sécurité physique pour les bureaux, les zones de travail et les zones sécurisées	Manuel, désactivé	1.1.0
Installer un système d’alarme	CMA_0338 - Installer un système d’alarme	Manuel, désactivé	1.1.0
Récupérer et reconstruire des ressources après toute interruption	CMA_C1295 - Récupérer et reconstruire des ressources après toute interruption	Manuel, désactivé	1.1.1
Exécuter des attaques de simulation	CMA_0486 – Exécuter des attaques de simulation	Manuel, désactivé	1.1.0
Stocker séparément les informations de sauvegarde	CMA_C1293 - Stocker séparément les informations de sauvegarde	Manuel, désactivé	1.1.0
Transférer les informations de sauvegarde vers un autre site de stockage	CMA_C1294 - Transférer les informations de sauvegarde vers un autre site de stockage	Manuel, désactivé	1.1.0

Test du plan de récupération

ID : SOC 2 Type 2 A1.3 Propriété : Partagé

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Coordonner les plans d’urgence avec les plans associés	CMA_0086 - Coordonner les plans d’urgence avec les plans associés	Manuel, désactivé	1.1.0
Lancer des actions correctives du test du plan d’urgence	CMA_C1263 - Lancer des actions correctives du test du plan d’urgence	Manuel, désactivé	1.1.0
Passer en revue les résultats des tests du plan d’urgence	CMA_C1262 - Passer en revue les résultats des tests du plan d’urgence	Manuel, désactivé	1.1.0
Tester le plan de continuité d’activité et de reprise d’activité	CMA_0509 - Tester le plan de continuité d’activité et de reprise d’activité	Manuel, désactivé	1.1.0

Critères supplémentaires de confidentialité

Protection des informations confidentielles

ID : SOC 2 Type 2 C1.1 Propriété : Partagé

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Contrôler l’accès physique	CMA_0081 – Contrôler l’accès physique	Manuel, désactivé	1.1.0
Gérer l’entrée, la sortie, le traitement et le stockage des données	CMA_0369 – Gérer l’entrée, la sortie, le traitement et le stockage des données	Manuel, désactivé	1.1.0
Examiner l’activité et l’analytique de l’étiquette	CMA_0474 – Examiner l’activité et l’analytique de l’étiquette	Manuel, désactivé	1.1.0

Suppression des informations confidentielles

ID : SOC 2 Type 2 C1.2 Propriété : Partagé

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Contrôler l’accès physique	CMA_0081 – Contrôler l’accès physique	Manuel, désactivé	1.1.0
Gérer l’entrée, la sortie, le traitement et le stockage des données	CMA_0369 – Gérer l’entrée, la sortie, le traitement et le stockage des données	Manuel, désactivé	1.1.0
Examiner l’activité et l’analytique de l’étiquette	CMA_0474 – Examiner l’activité et l’analytique de l’étiquette	Manuel, désactivé	1.1.0

Environnement de contrôle

Principe 1 de COSO

ID : SOC 2 Type 2 CC1.1 Propriété : Partagé

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Développer des stratégies et des procédures d’utilisation acceptables	CMA_0143 - Développer des stratégies et des procédures d’utilisation acceptables	Manuel, désactivé	1.1.0
Développer une stratégie de code de conduite de l’organisation	CMA_0159 - Développer une stratégie de code de conduite de l’organisation	Manuel, désactivé	1.1.0
Documenter l’acceptation des exigences de confidentialité par le personnel	CMA_0193 - Documenter l’acceptation des exigences de confidentialité par le personnel	Manuel, désactivé	1.1.0
Appliquer des règles de comportement et des contrats d’accès	CMA_0248 - Appliquer des règles de comportement et des contrats d’accès	Manuel, désactivé	1.1.0
Interdire les pratiques déloyales	CMA_0396 - Interdire les pratiques déloyales	Manuel, désactivé	1.1.0
Passer en revue et signer les règles de comportement révisées	CMA_0465 - Passer en revue et signer les règles de comportement révisées	Manuel, désactivé	1.1.0
Mettre à jour les règles de comportement et les contrats d’accès	CMA_0521 - Mettre à jour les règles de comportement et les contrats d’accès	Manuel, désactivé	1.1.0
Mettre à jour les règles de comportement et les contrats d’accès tous les 3 ans	CMA_0522 - Mettre à jour les règles de comportement et les contrats d’accès tous les 3 ans	Manuel, désactivé	1.1.0

Principe 2 de COSO

ID : SOC 2 Type 2 CC1.2 Propriété : Partagé

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Nommer un responsable senior de la sécurité des informations	CMA_C1733 - Nommer un responsable senior de la sécurité des informations	Manuel, désactivé	1.1.0
Développer et établir un plan de sécurité des systèmes	CMA_0151 - Développer et établir un plan de sécurité des systèmes	Manuel, désactivé	1.1.0
Établir une stratégie de gestion des risques	CMA_0258 - Établir une stratégie de gestion des risques	Manuel, désactivé	1.1.0
Établir les exigences de sécurité pour la fabrication d’appareils connectés	CMA_0279 - Établir les exigences de sécurité pour la fabrication d’appareils connectés	Manuel, désactivé	1.1.0
Implémenter les principes d’ingénierie de la sécurité des systèmes d’information	CMA_0325 - Implémenter les principes d’ingénierie de la sécurité des systèmes d’information	Manuel, désactivé	1.1.0

Principe 3 de COSO

ID : SOC 2 Type 2 CC1.3 Propriété : Partagé

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Nommer un responsable senior de la sécurité des informations	CMA_C1733 - Nommer un responsable senior de la sécurité des informations	Manuel, désactivé	1.1.0
Développer et établir un plan de sécurité des systèmes	CMA_0151 - Développer et établir un plan de sécurité des systèmes	Manuel, désactivé	1.1.0
Établir une stratégie de gestion des risques	CMA_0258 - Établir une stratégie de gestion des risques	Manuel, désactivé	1.1.0
Établir les exigences de sécurité pour la fabrication d’appareils connectés	CMA_0279 - Établir les exigences de sécurité pour la fabrication d’appareils connectés	Manuel, désactivé	1.1.0
Implémenter les principes d’ingénierie de la sécurité des systèmes d’information	CMA_0325 - Implémenter les principes d’ingénierie de la sécurité des systèmes d’information	Manuel, désactivé	1.1.0

Principe 4 de COSO

ID : SOC 2 Type 2 CC1.4 Propriété : Partagé

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Fournir une formation périodique sur la sécurité basée sur les rôles	CMA_C1095 - Fournir une formation périodique sur la sécurité basée sur les rôles	Manuel, désactivé	1.1.0
Fournir une formation périodique sur la sensibilisation à la sécurité	CMA_C1091 - Fournir une formation périodique sur la sensibilisation à la sécurité	Manuel, désactivé	1.1.0
Fournir des exercices pratiques basés sur des rôles	CMA_C1096 – Fournir des exercices pratiques basés sur des rôles	Manuel, désactivé	1.1.0
Fournir une formation sur la sécurité avant de fournir l’accès	CMA_0418 - Fournir une formation sur la sécurité avant de fournir l’accès	Manuel, désactivé	1.1.0
Fournir une formation sur la sécurité pour les nouveaux utilisateurs	CMA_0419 - Fournir une formation sur la sécurité pour les nouveaux utilisateurs	Manuel, désactivé	1.1.0

Principe COSO 5

ID : SOC 2 Type 2 CC1.5 Propriété : Partagé

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Développer des stratégies et des procédures d’utilisation acceptables	CMA_0143 - Développer des stratégies et des procédures d’utilisation acceptables	Manuel, désactivé	1.1.0
Appliquer des règles de comportement et des contrats d’accès	CMA_0248 - Appliquer des règles de comportement et des contrats d’accès	Manuel, désactivé	1.1.0
Implémenter un processus formel de sanctions	CMA_0317 - Implémenter un processus formel de sanctions	Manuel, désactivé	1.1.0
Notifier le personnel en cas de sanctions	CMA_0380 - Notifier le personnel en cas de sanctions	Manuel, désactivé	1.1.0

Communication et informations

Principe 13 de COSO

ID : SOC 2 Type 2 CC2.1 Propriété : Partagé

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Contrôler l’accès physique	CMA_0081 – Contrôler l’accès physique	Manuel, désactivé	1.1.0
Gérer l’entrée, la sortie, le traitement et le stockage des données	CMA_0369 – Gérer l’entrée, la sortie, le traitement et le stockage des données	Manuel, désactivé	1.1.0
Examiner l’activité et l’analytique de l’étiquette	CMA_0474 – Examiner l’activité et l’analytique de l’étiquette	Manuel, désactivé	1.1.0

Principe 14 de COSO

ID : SOC 2 Type 2 CC2.2 Propriété : Partagé

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Développer des stratégies et des procédures d’utilisation acceptables	CMA_0143 - Développer des stratégies et des procédures d’utilisation acceptables	Manuel, désactivé	1.1.0
La notification par e-mail pour les alertes à gravité élevée doit être activée	Pour informer les personnes concernées de votre organisation d’une violation de sécurité potentielle dans l’un de vos abonnements, activez les notifications par e-mail pour les alertes à gravité élevée dans Security Center.	AuditIfNotExists, Désactivé	1.0.1
La notification par e-mail au propriétaire de l’abonnement pour les alertes à gravité élevée doit être activée	Pour informer les propriétaires d’abonnement d’une violation de sécurité potentielle dans leur abonnement, activez l’envoi de notifications par e-mail à ces propriétaires pour les alertes à gravité élevée dans Security Center.	AuditIfNotExists, Désactivé	2.0.0
Appliquer des règles de comportement et des contrats d’accès	CMA_0248 - Appliquer des règles de comportement et des contrats d’accès	Manuel, désactivé	1.1.0
Fournir une formation périodique sur la sécurité basée sur les rôles	CMA_C1095 - Fournir une formation périodique sur la sécurité basée sur les rôles	Manuel, désactivé	1.1.0
Fournir une formation périodique sur la sensibilisation à la sécurité	CMA_C1091 - Fournir une formation périodique sur la sensibilisation à la sécurité	Manuel, désactivé	1.1.0
Fournir une formation sur la sécurité avant de fournir l’accès	CMA_0418 - Fournir une formation sur la sécurité avant de fournir l’accès	Manuel, désactivé	1.1.0
Fournir une formation sur la sécurité pour les nouveaux utilisateurs	CMA_0419 - Fournir une formation sur la sécurité pour les nouveaux utilisateurs	Manuel, désactivé	1.1.0
Les abonnements doivent avoir l’adresse e-mail d’un contact pour le signalement des problèmes de sécurité	Pour informer les personnes concernées de votre organisation d’une violation de sécurité potentielle dans l’un de vos abonnements, définissez un contact de sécurité qui recevra des notifications par e-mail dans Security Center.	AuditIfNotExists, Désactivé	1.0.1

Principe 15 de COSO

ID : SOC 2 Type 2 CC2.3 Propriété : Partagé

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Définir les tâches des processeurs	CMA_0127 - Définir les tâches des processeurs	Manuel, désactivé	1.1.0
Fournir les résultats de l’évaluation de la sécurité	CMA_C1147 - Fournir les résultats de l’évaluation de la sécurité	Manuel, désactivé	1.1.0
Développer et établir un plan de sécurité des systèmes	CMA_0151 - Développer et établir un plan de sécurité des systèmes	Manuel, désactivé	1.1.0
La notification par e-mail pour les alertes à gravité élevée doit être activée	Pour informer les personnes concernées de votre organisation d’une violation de sécurité potentielle dans l’un de vos abonnements, activez les notifications par e-mail pour les alertes à gravité élevée dans Security Center.	AuditIfNotExists, Désactivé	1.0.1
La notification par e-mail au propriétaire de l’abonnement pour les alertes à gravité élevée doit être activée	Pour informer les propriétaires d’abonnement d’une violation de sécurité potentielle dans leur abonnement, activez l’envoi de notifications par e-mail à ces propriétaires pour les alertes à gravité élevée dans Security Center.	AuditIfNotExists, Désactivé	2.0.0
Établir les exigences de sécurité pour la fabrication d’appareils connectés	CMA_0279 - Établir les exigences de sécurité pour la fabrication d’appareils connectés	Manuel, désactivé	1.1.0
Établir les exigences de sécurité pour le personnel de tiers	CMA_C1529 - Établir les exigences de sécurité pour le personnel de tiers	Manuel, désactivé	1.1.0
Implémenter des méthodes de remise de déclaration de confidentialité	CMA_0324 - Implémenter des méthodes de remise de déclaration de confidentialité	Manuel, désactivé	1.1.0
Implémenter les principes d’ingénierie de la sécurité des systèmes d’information	CMA_0325 - Implémenter les principes d’ingénierie de la sécurité des systèmes d’information	Manuel, désactivé	1.1.0
Produire un rapport d’évaluation de la sécurité	CMA_C1146 - Produire un rapport d’évaluation de la sécurité	Manuel, désactivé	1.1.0
Fournir une déclaration de confidentialité	CMA_0414 - Fournir une déclaration de confidentialité	Manuel, désactivé	1.1.0
Exiger des fournisseurs tiers qu’ils se conforment aux stratégies et aux procédures de sécurité du personnel	CMA_C1530 - Exiger des fournisseurs tiers qu’ils se conforment aux stratégies et aux procédures de sécurité du personnel	Manuel, désactivé	1.1.0
Restreindre les communications	CMA_0449 - Restreindre les communications	Manuel, désactivé	1.1.0
Les abonnements doivent avoir l’adresse e-mail d’un contact pour le signalement des problèmes de sécurité	Pour informer les personnes concernées de votre organisation d’une violation de sécurité potentielle dans l’un de vos abonnements, définissez un contact de sécurité qui recevra des notifications par e-mail dans Security Center.	AuditIfNotExists, Désactivé	1.0.1

Évaluation des risques

Principe 6 de COSO

ID : SOC 2 Type 2 CC3.1 Propriété : Partagé

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Catégoriser les informations	CMA_0052 - Catégoriser les informations	Manuel, désactivé	1.1.0
Déterminer les besoins en matière de protection des informations	CMA_C1750 - Déterminer les besoins en matière de protection des informations	Manuel, désactivé	1.1.0
Développer des schémas de classification métier	CMA_0155 - Développer des schémas de classification métier	Manuel, désactivé	1.1.0
Développer un SSP qui répond aux critères	CMA_C1492 - Développer un SSP qui répond aux critères	Manuel, désactivé	1.1.0
Établir une stratégie de gestion des risques	CMA_0258 - Établir une stratégie de gestion des risques	Manuel, désactivé	1.1.0
Effectuer une évaluation des risques	CMA_0388 - Effectuer une évaluation des risques	Manuel, désactivé	1.1.0
Examiner l’activité et l’analytique de l’étiquette	CMA_0474 – Examiner l’activité et l’analytique de l’étiquette	Manuel, désactivé	1.1.0

Principe COSO 7

ID : SOC 2 Type 2 CC3.2 Propriété : Partagé

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Catégoriser les informations	CMA_0052 - Catégoriser les informations	Manuel, désactivé	1.1.0
Déterminer les besoins en matière de protection des informations	CMA_C1750 - Déterminer les besoins en matière de protection des informations	Manuel, désactivé	1.1.0
Développer des schémas de classification métier	CMA_0155 - Développer des schémas de classification métier	Manuel, désactivé	1.1.0
Établir une stratégie de gestion des risques	CMA_0258 - Établir une stratégie de gestion des risques	Manuel, désactivé	1.1.0
Effectuer une évaluation des risques	CMA_0388 - Effectuer une évaluation des risques	Manuel, désactivé	1.1.0
Effectuer des analyses de vulnérabilité	CMA_0393 – Effectuer des analyses de vulnérabilité	Manuel, désactivé	1.1.0
Corriger les défauts du système d’information	CMA_0427 – Corriger les défauts du système d’information	Manuel, désactivé	1.1.0
Examiner l’activité et l’analytique de l’étiquette	CMA_0474 – Examiner l’activité et l’analytique de l’étiquette	Manuel, désactivé	1.1.0
L’évaluation des vulnérabilités doit être activée sur SQL Managed Instance	Auditez chaque instance managée SQL qui n’a pas d’analyses récurrentes d’évaluation des vulnérabilités activées. L’évaluation des vulnérabilités peut découvrir et suivre les potentielles vulnérabilités de base de données, et vous aider à y remédier.	AuditIfNotExists, Désactivé	1.0.1
L’évaluation des vulnérabilités doit être activée sur vos serveurs SQL	Auditer les serveurs Azure SQL pour lesquels l’évaluation des vulnérabilités n’est pas correctement configurée. L’évaluation des vulnérabilités peut découvrir et suivre les potentielles vulnérabilités de base de données, et vous aider à y remédier.	AuditIfNotExists, Désactivé	3.0.0

Principe COSO 8

ID : SOC 2 Type 2 CC3.3 Propriété : Partagé

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Effectuer une évaluation des risques	CMA_0388 - Effectuer une évaluation des risques	Manuel, désactivé	1.1.0

Principe 9 de COSO

ID : SOC 2 Type 2 CC3.4 Propriété : Partagé

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Évaluer les risques dans les relations avec les tiers	CMA_0014 - Évaluer les risques dans les relations avec les tiers	Manuel, désactivé	1.1.0
Définir les exigences pour la fourniture de biens et de services	CMA_0126 - Définir les exigences pour la fourniture de biens et de services	Manuel, désactivé	1.1.0
Déterminer les obligations des contrats fournisseur	CMA_0140 - Déterminer les obligations des contrats fournisseur	Manuel, désactivé	1.1.0
Établir une stratégie de gestion des risques	CMA_0258 - Établir une stratégie de gestion des risques	Manuel, désactivé	1.1.0
Établir des stratégies pour la gestion des risques liés à la chaîne d’approvisionnement	CMA_0275 - Établir des stratégies pour la gestion des risques liés à la chaîne d’approvisionnement	Manuel, désactivé	1.1.0
Effectuer une évaluation des risques	CMA_0388 - Effectuer une évaluation des risques	Manuel, désactivé	1.1.0

Activités d’analyse

Principe 16 de COSO

ID : SOC 2 Type 2 CC4.1 Propriété : Partagé

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Évaluer les contrôles de sécurité	CMA_C1145 - Évaluer les contrôles de sécurité	Manuel, désactivé	1.1.0
Développer un plan d’évaluation de la sécurité	CMA_C1144 - Développer un plan d’évaluation de la sécurité	Manuel, désactivé	1.1.0
Sélectionner des tests supplémentaires pour les évaluations des contrôles de sécurité	CMA_C1149 - Sélectionner des tests supplémentaires pour les évaluations des contrôles de sécurité	Manuel, désactivé	1.1.0

Principe 17 de COSO

ID : SOC 2 Type 2 CC4.2 Propriété : Partagé

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Fournir les résultats de l’évaluation de la sécurité	CMA_C1147 - Fournir les résultats de l’évaluation de la sécurité	Manuel, désactivé	1.1.0
Produire un rapport d’évaluation de la sécurité	CMA_C1146 - Produire un rapport d’évaluation de la sécurité	Manuel, désactivé	1.1.0

Activités de contrôle

Principe 10 de COSO

ID : SOC 2 Type 2 CC5.1 Propriété : Partagé

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Établir une stratégie de gestion des risques	CMA_0258 - Établir une stratégie de gestion des risques	Manuel, désactivé	1.1.0
Effectuer une évaluation des risques	CMA_0388 - Effectuer une évaluation des risques	Manuel, désactivé	1.1.0

Principe 11 de COSO

ID : SOC 2 Type 2 CC5.2 Propriété : Partagé

Principe 12 de COSO

ID : SOC 2 Type 2 CC5.3 Propriété : Partagé

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Configurer la liste verte des détections	CMA_0068 - Configurer la liste verte des détections	Manuel, désactivé	1.1.0
Effectuer une évaluation des risques	CMA_0388 - Effectuer une évaluation des risques	Manuel, désactivé	1.1.0
Activer les capteurs pour la solution de sécurité de point de terminaison	CMA_0514 – Activer les capteurs pour la solution de sécurité de point de terminaison	Manuel, désactivé	1.1.0
Faire l’objet d’une révision de sécurité indépendante	CMA_0515 - Faire l’objet d’une révision de sécurité indépendante	Manuel, désactivé	1.1.0

Contrôles d’accès logiques et physiques

Architectures, infrastructure et logiciels de sécurité d’accès logique

ID : SOC 2 Type 2 CC6.1 Propriété : Partagé

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
3 propriétaires maximum doivent être désignés pour votre abonnement	Il est recommandé de désigner jusqu'à 3 propriétaires d'abonnement pour réduire le risque de violation par un propriétaire compromis.	AuditIfNotExists, Désactivé	3.0.0
Les comptes disposant d’autorisations de propriétaire sur les ressources Azure doivent être compatibles avec l’authentification multifacteur	MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant d'autorisations de propriétaire afin d'éviter une violation des comptes ou des ressources.	AuditIfNotExists, Désactivé	1.0.0
Les comptes disposant d’autorisations en lecture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur	MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en lecture afin d'éviter une violation des comptes ou des ressources.	AuditIfNotExists, Désactivé	1.0.0
Les comptes disposant d’autorisations en écriture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur	MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en écriture pour éviter une violation des comptes ou des ressources.	AuditIfNotExists, Désactivé	1.0.0
Adopter des mécanismes d’authentification biométrique	CMA_0005 – Adopter des mécanismes d’authentification biométrique	Manuel, désactivé	1.1.0
Tous les ports réseau doivent être restreints sur les groupes de sécurité réseau associés à votre machine virtuelle	Azure Security Center a identifié qu’une partie des règles de trafic entrant de vos groupes de sécurité réseau est trop permissive. Les règles de trafic entrant ne doivent pas autoriser l’accès à partir des plages « Tout » ou « Internet ». Cela peut permettre aux attaquants de cibler vos ressources.	AuditIfNotExists, Désactivé	3.0.0
Les applications App Service doivent être accessibles uniquement via HTTPS	L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau.	Audit, Désactivé, Refus	4.0.0
Les applications App Service doivent exiger FTPS uniquement	Activer la mise en œuvre de FTPS pour renforcer la sécurité.	AuditIfNotExists, Désactivé	3.0.0
L’authentification auprès des machines Linux doit exiger des clés SSH	Bien que le protocole SSH lui-même offre une connexion chiffrée, l’utilisation de mots de passe avec SSH laisse néanmoins la machine virtuelle vulnérable aux attaques en force brute. L’option la plus sûre pour l’authentification auprès d’une machine virtuelle Linux Azure via SSH est d’utiliser une paire de clés publique-privée, également appelées clés SSH. En savoir plus : https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed.	AuditIfNotExists, Désactivé	2.4.0
Autoriser l’accès aux fonctions et informations de sécurité	CMA_0022 – Autoriser l’accès aux fonctions et informations de sécurité	Manuel, désactivé	1.1.0
Autoriser et gérer l’accès	CMA_0023 – Autoriser et gérer l’accès	Manuel, désactivé	1.1.0
Autoriser l’accès à distance	CMA_0024 – Autoriser l’accès à distance	Manuel, désactivé	1.1.0
Les variables de compte Automation doivent être chiffrées	Il est important d’activer le chiffrement des ressources variables du compte Automation lors du stockage de données sensibles	Audit, Refuser, Désactivé	1.1.0
Les comptes Azure Cosmos DB doivent utiliser des clés gérées par le client pour chiffrer les données au repos	Utilisez des clés gérées par le client pour gérer le chiffrement au repos de votre compte Azure Cosmos DB. Par défaut, les données sont chiffrées au repos avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/cosmosdb-cmk.	audit, Audit, refus, Refus, désactivé, Désactivé	1.1.0
Les espaces de travail Azure Machine Learning doivent être chiffrés au moyen d’une clé gérée par le client	Gérez le chiffrement au repos des données de votre espace de travail Azure Machine Learning à l’aide de clés gérées par le client. Par défaut, les données client sont chiffrées avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/azureml-workspaces-cmk.	Audit, Refuser, Désactivé	1.0.3
Les comptes bloqués disposant d’autorisations de propriétaire sur les ressources Azure doivent être supprimés	Les comptes déconseillés disposant d’autorisations de type propriétaire doivent être supprimés de votre abonnement. Les comptes déconseillés sont des comptes qui ont été empêchés de se connecter.	AuditIfNotExists, Désactivé	1.0.0
Les comptes Cognitive Services doivent activer le chiffrement des données avec une clé gérée par le client	Des clés gérées par le client sont généralement requises pour répondre aux normes de conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données stockées dans Cognitive Services avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. En savoir plus sur les clés gérées par le client sur https://go.microsoft.com/fwlink/?linkid=2121321.	Audit, Refuser, Désactivé	2.1.0
Les registres de conteneurs doivent être chiffrés avec une clé gérée par le client	Utilisez des clés gérées par le client pour gérer le chiffrement au repos du contenu de vos registres. Par défaut, les données sont chiffrées au repos avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/acr/CMK.	Audit, Refuser, Désactivé	1.1.2
Flux d’informations de contrôle	CMA_0079 – Flux d’informations de contrôle	Manuel, désactivé	1.1.0
Contrôler l’accès physique	CMA_0081 – Contrôler l’accès physique	Manuel, désactivé	1.1.0
Créer un inventaire des données	CMA_0096 - Créer un inventaire des données	Manuel, désactivé	1.1.0
Définir un processus de gestion des clés physiques	CMA_0115 – Définir un processus de gestion des clés physiques	Manuel, désactivé	1.1.0
Définir l’utilisation du chiffrement	CMA_0120 – Définir l’utilisation du chiffrement	Manuel, désactivé	1.1.0
Définir les exigences organisationnelles pour la gestion des clés de chiffrement	CMA_0123 – Définir les exigences organisationnelles pour la gestion des clés de chiffrement	Manuel, désactivé	1.1.0
Concevoir un modèle de contrôle d’accès	CMA_0129 – Concevoir un modèle de contrôle d’accès	Manuel, désactivé	1.1.0
Déterminer les exigences d’assertion	CMA_0136 – Déterminer les exigences d’assertion	Manuel, désactivé	1.1.0
Formation sur la mobilité des documents	CMA_0191 – Formation sur la mobilité des documents	Manuel, désactivé	1.1.0
Documentation des instructions d’accès à distance	CMA_0196 – Documentation des instructions d’accès à distance	Manuel, désactivé	1.1.0
Utiliser des mécanismes de contrôle de flux d’informations chiffrées	CMA_0211 – Utiliser des mécanismes de contrôle de flux d’informations chiffrées	Manuel, désactivé	1.1.0
Utiliser l’accès aux privilèges minimum	CMA_0212 – Utiliser l’accès aux privilèges minimum	Manuel, désactivé	1.1.0
Appliquer l’accès logique	CMA_0245 – Appliquer l’accès logique	Manuel, désactivé	1.1.0
Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires	CMA_0246 – Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires	Manuel, désactivé	1.1.0
L’application de la connexion SSL doit être activée pour les serveurs de base de données MySQL	La base de données Azure pour MySQL prend en charge la connexion de votre serveur Azure Database pour MySQL aux applications clientes à l’aide de Secure Sockets Layer (SSL). L’application de connexions SSL entre votre serveur de base de données et vos applications clientes vous protège contre les « attaques de l’intercepteur » en chiffrant le flux de données entre le serveur et votre application. Cette configuration garantit que le protocole SSL est toujours activé pour l’accès à votre serveur de base de données.	Audit, Désactivé	1.0.1
L’application de la connexion SSL doit être activée pour les serveurs de base de données PostgreSQL	Azure Database pour PostgreSQL prend en charge la connexion de votre serveur Azure Database pour PostgreSQL aux applications clientes via SSL (Secure Sockets Layer). L’application de connexions SSL entre votre serveur de base de données et vos applications clientes vous protège contre les « attaques de l’intercepteur » en chiffrant le flux de données entre le serveur et votre application. Cette configuration garantit que le protocole SSL est toujours activé pour l’accès à votre serveur de base de données.	Audit, Désactivé	1.0.1
Établir une procédure de gestion des fuites de données	CMA_0255 – Établir une procédure de gestion des fuites de données	Manuel, désactivé	1.1.0
Établir des normes de configuration de pare-feu et de routeur	CMA_0272 – Établir des normes de configuration de pare-feu et de routeur	Manuel, désactivé	1.1.0
Établir une segmentation réseau pour l’environnement de données du titulaire de carte	CMA_0273 – Établir une segmentation réseau pour l’environnement de données du titulaire de carte	Manuel, désactivé	1.1.0
Les applications Function App ne doivent être accessibles que via HTTPS	L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau.	Audit, Désactivé, Refus	5.0.0
Les applications de fonction doivent exiger FTPS uniquement	Activer la mise en œuvre de FTPS pour renforcer la sécurité.	AuditIfNotExists, Désactivé	3.0.0
Les applications de fonctions doivent utiliser la dernière version TLS	Régulièrement, de nouvelles versions sont publiées pour le stockage local de thread (TLS), soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications de fonction afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités.	AuditIfNotExists, Désactivé	2.0.1
Les comptes invités disposant d’autorisations de propriétaire sur les ressources Azure doivent être supprimés	Les comptes externes avec des autorisations de type propriétaire doivent être supprimés de votre abonnement pour empêcher un accès non contrôlé.	AuditIfNotExists, Désactivé	1.0.0
Identifier et gérer les échanges d’informations en aval	CMA_0298 – Identifier et gérer les échanges d’informations en aval	Manuel, désactivé	1.1.0
Implémenter des contrôles pour sécuriser d’autres sites de travail	CMA_0315 – Implémenter des contrôles pour sécuriser d’autres sites de travail	Manuel, désactivé	1.1.0
Implémenter la sécurité physique pour les bureaux, les zones de travail et les zones sécurisées	CMA_0323 - Implémenter la sécurité physique pour les bureaux, les zones de travail et les zones sécurisées	Manuel, désactivé	1.1.0
Les machines virtuelles accessibles à partir d’Internet doivent être protégées avec des groupes de sécurité réseau	Protégez vos machines virtuelles contre les menaces potentielles en limitant leur accès avec des groupes de sécurité réseau (NSG). Pour en savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau, consultez https://aka.ms/nsg-doc.	AuditIfNotExists, Désactivé	3.0.0
Émettre des certificats de clé publique	CMA_0347 – Émettre des certificats de clé publique	Manuel, désactivé	1.1.0
La protection contre la suppression doit être activée pour les coffres de clés	La suppression malveillante d’un coffre de clés peut entraîner une perte définitive des données. Vous pouvez empêcher la perte permanente de données en activant la protection contre la suppression définitive et la suppression réversible. La protection contre la suppression définitive vous protège des attaques internes en appliquant une période de conservation obligatoire pour les coffres de clés supprimés de manière réversible. Personne au sein de votre organisation ni chez Microsoft ne pourra supprimer définitivement vos coffres de clés pendant la période de conservation de la suppression réversible. N’oubliez pas que la suppression réversible est activée par défaut pour les coffres de clés créés après le 1er septembre 2019.	Audit, Refuser, Désactivé	2.1.0
La suppression réversible doit être activée sur les coffres de clés	La suppression d’un coffre de clés sur lequel la suppression réversible n’est pas activée supprime définitivement tous les secrets, toutes les clés et tous les certificats qui y stockés. La suppression accidentelle d’un coffre de clés peut entraîner la perte définitive des données. La suppression réversible vous permet de récupérer un coffre de clés supprimé accidentellement, pendant une période de conservation configurable.	Audit, Refuser, Désactivé	3.0.0
Les clusters Kubernetes doivent être accessibles uniquement par le biais de HTTPS	L’utilisation de HTTPS garantit l’authentification et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. Cette capacité est actuellement en disponibilité générale pour Kubernetes Service (AKS) et en préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc	audit, Audit, refus, Refus, désactivé, Désactivé	9.1.0
Conserver les enregistrements de traitement des données personnelles	CMA_0353 - Conserver les enregistrements de traitement des données personnelles	Manuel, désactivé	1.1.0
Gérer les clés de chiffrement symétriques	CMA_0367 – Gérer les clés de chiffrement symétriques	Manuel, désactivé	1.1.0
Gérer l’entrée, la sortie, le traitement et le stockage des données	CMA_0369 – Gérer l’entrée, la sortie, le traitement et le stockage des données	Manuel, désactivé	1.1.0
Les ports de gestion des machines virtuelles doivent être protégés par un contrôle d’accès réseau juste-à-temps	L’éventuel accès juste-à-temps (JIT) au réseau sera supervisé par Azure Security Center en tant que recommandation	AuditIfNotExists, Désactivé	3.0.0
Les ports de gestion doivent être fermés sur vos machines virtuelles	Les ports de gestion à distance ouverts exposent votre machine virtuelle à un niveau de risque élevé des attaques basées sur Internet. Ces attaques tentent d’attaquer par force brute les informations d’identification afin d’obtenir un accès administrateur à l’ordinateur.	AuditIfNotExists, Désactivé	3.0.0
Les machines virtuelles non connectées à Internet doivent être protégées avec des groupes de sécurité réseau	Protégez vos machines virtuelles non connectées à Internet contre les menaces potentielles en limitant l’accès avec des groupes de sécurité réseau (NSG). Pour en savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau, consultez https://aka.ms/nsg-doc.	AuditIfNotExists, Désactivé	3.0.0
Avertir les utilisateurs de l’ouverture de session ou de l’accès au système	CMA_0382 - Avertir les utilisateurs de l’ouverture de session ou de l’accès au système	Manuel, désactivé	1.1.0
Seules les connexions sécurisées à votre instance Azure Cache pour Redis doivent être activées	Auditer l’activation des connexions établies uniquement par le biais de SSL au cache Azure pour Redis. L'utilisation de connexions sécurisées garantit l'authentification entre le serveur et le service et protège les données en transit contre les attaques de la couche réseau (attaque de l'intercepteur ou « man-in-the-middle », écoute clandestine, détournement de session).	Audit, Refuser, Désactivé	1.0.0
Protéger les données en transit à l’aide du chiffrement	CMA_0403 – Protéger les données en transit à l’aide du chiffrement	Manuel, désactivé	1.1.0
Protéger des informations spéciales	CMA_0409 – Protéger des informations spéciales	Manuel, désactivé	1.1.0
Fournir une formation sur la confidentialité	CMA_0415 – Fournir une formation sur la confidentialité	Manuel, désactivé	1.1.0
Exiger une approbation pour la création de compte	CMA_0431 – Exiger une approbation pour la création de compte	Manuel, désactivé	1.1.0
Restreindre l’accès aux clés privées	CMA_0445 – Restreindre l’accès aux clés privées	Manuel, désactivé	1.1.0
Examiner les groupes d’utilisateurs et les applications ayant accès à des données sensibles	CMA_0481 – Examiner les groupes d’utilisateurs et les applications ayant accès à des données sensibles	Manuel, désactivé	1.1.0
La sécurisation du transfert vers des comptes de stockage doit être activée	Auditer l’exigence de transfert sécurisé dans votre compte de stockage. L’option de sécurisation du transfert oblige votre compte de stockage à accepter uniquement des requêtes provenant de connexions sécurisées (HTTPS). L’utilisation de HTTPS garantit l’authentification entre le serveur et le service et protège les données en transit contre les attaques de la couche réseau (attaque de l’intercepteur ou « man-in-the-middle », écoute clandestine, détournement de session)	Audit, Refuser, Désactivé	2.0.0
La propriété ClusterProtectionLevel doit être définie sur EncryptAndSign pour les clusters Service Fabric	Service Fabric fournit trois niveaux de protection (None, Sign et EncryptAndSign) pour la communication nœud à nœud à l’aide d’un certificat de cluster principal. Définissez le niveau de protection pour vous assurer que tous les messages de nœud à nœud sont chiffrés et signés numériquement	Audit, Refuser, Désactivé	1.1.0
Les instances managées SQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos	L’implémentation de TDE (Transparent Data Encryption) avec votre propre clé vous offre les avantages suivants : transparence et contrôle améliorés sur le protecteur TDE, sécurité renforcée avec un service externe HSM et promotion de la séparation des tâches. Cette recommandation s’applique aux organisations ayant une exigence de conformité associée.	Audit, Refuser, Désactivé	2.0.0
Les serveurs SQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos	L’implémentation de TDE (Transparent Data Encryption) avec votre propre clé vous offre les avantages suivants : transparence et contrôle améliorés sur le protecteur TDE, sécurité renforcée avec un service externe HSM et promotion de la séparation des tâches. Cette recommandation s’applique aux organisations ayant une exigence de conformité associée.	Audit, Refuser, Désactivé	2.0.1
Le compte de stockage disposant du conteneur des journaux d’activité doit être chiffré avec BYOK	Cette stratégie vérifie si le compte de stockage disposant du conteneur des journaux d’activité est chiffré avec BYOK. La stratégie fonctionne uniquement si le compte de stockage se trouve par défaut dans le même abonnement que les journaux d’activité. Vous trouverez plus d’informations sur le chiffrement du stockage Azure au repos ici https://aka.ms/azurestoragebyok.	AuditIfNotExists, Désactivé	1.0.0
Les comptes de stockage doivent utiliser une clé gérée par le client pour le chiffrement	Sécurisez votre compte de stockage blob et fichier avec une plus grande flexibilité en utilisant des clés gérées par le client. Quand vous spécifiez une clé gérée par le client, cette clé est utilisée pour protéger et contrôler l’accès à la clé qui chiffre vos données. L’utilisation de clés gérées par le client fournit des fonctionnalités supplémentaires permettant de contrôler la rotation de la clé de chiffrement de clé ou d’effacer des données par chiffrement.	Audit, Désactivé	1.0.3
les sous-réseaux doivent être associés à un groupe de sécurité réseau	Protégez votre sous-réseau contre les menaces potentielles en y limitant l’accès avec un groupe de sécurité réseau (NSG). Les NSG contiennent une liste de règles de liste de contrôle d’accès (ACL) qui autorisent ou refusent le trafic réseau vers votre sous-réseau.	AuditIfNotExists, Désactivé	3.0.0
Plusieurs propriétaires doivent être attribués à votre abonnement	Il est recommandé de désigner plusieurs propriétaires d'abonnement pour disposer de la redondance de l'accès administrateur.	AuditIfNotExists, Désactivé	3.0.0
Transparent Data Encryption sur les bases de données SQL doit être activé	Le chiffrement transparent des données doit être activé pour protéger les données au repos et respecter les conditions de conformité requises	AuditIfNotExists, Désactivé	2.0.0
Les machines virtuelles doivent chiffrer les disques temporaires, les caches et les flux de données entre les ressources de calcul et de stockage	Par défaut, le système d’exploitation et les disques de données d’une machine virtuelle sont chiffrés au repos à l’aide de clés gérées par la plateforme. Les disques temporaires, les caches de données et le flux de données entre le calcul et le stockage ne sont pas chiffrés. Ignorez cette recommandation dans les deux cas suivants : Vous utilisez le chiffrement sur l’hôte. Le chiffrement côté serveur des Disques managés répond à vos besoins en matière de sécurité. Pour en savoir plus, consultez : Chiffrement côté serveur de Stockage sur disque Azure : https://aka.ms/disksse, Différentes offres de chiffrement de disque : https://aka.ms/diskencryptioncomparison	AuditIfNotExists, Désactivé	2.0.3
Les machines Windows doivent être configurées de façon à utiliser des protocoles de communication sécurisés	Pour protéger la confidentialité des informations communiquées sur Internet, vos machines doivent utiliser la dernière version du protocole de chiffrement standard, TLS (Transport Layer Security). TLS sécurise les communications sur un réseau en chiffrant une connexion entre les machines.	AuditIfNotExists, Désactivé	3.0.1

Approvisionnement et suppression de l’accès

ID : SOC 2 Type 2 CC6.2 Propriété : Partagé

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Affecter des gestionnaires de comptes	CMA_0015 - Affecter des gestionnaires de comptes	Manuel, désactivé	1.1.0
Auditer l’état du compte d’utilisateur	CMA_0020 – Auditer l’état du compte d’utilisateur	Manuel, désactivé	1.1.0
Les comptes bloqués disposant d’autorisations en lecture et en écriture sur les ressources Azure doivent être supprimés	Les comptes déconseillés doivent être supprimés de vos abonnements. Les comptes déconseillés sont des comptes qui ont été empêchés de se connecter.	AuditIfNotExists, Désactivé	1.0.0
Documenter les privilèges d’accès	CMA_0186 - Documenter les privilèges d’accès	Manuel, désactivé	1.1.0
Établir des conditions pour l’appartenance à un rôle	CMA_0269 - Établir des conditions pour l’appartenance à un rôle	Manuel, désactivé	1.1.0
Les comptes invités disposant d’autorisations en lecture sur les ressources Azure doivent être supprimés	Les comptes externes avec des privilèges d'accès en lecture doivent être supprimés de votre abonnement afin d'empêcher un accès non contrôlé.	AuditIfNotExists, Désactivé	1.0.0
Les comptes invités disposant d’autorisations en écriture sur les ressources Azure doivent être supprimés	Les comptes externes avec des privilèges d'accès en écriture doivent être supprimés de votre abonnement afin d'empêcher un accès non contrôlé.	AuditIfNotExists, Désactivé	1.0.0
Exiger une approbation pour la création de compte	CMA_0431 – Exiger une approbation pour la création de compte	Manuel, désactivé	1.1.0
Restreindre l’accès aux comptes privilégiés	CMA_0446 – Restreindre l’accès aux comptes privilégiés	Manuel, désactivé	1.1.0
Examiner les journaux d’approvisionnement de compte	CMA_0460 – Examiner les journaux d’approvisionnement de compte	Manuel, désactivé	1.1.0
Réviser les comptes d’utilisateur	CMA_0480 – Passer en revue les comptes d’utilisateurs	Manuel, désactivé	1.1.0

Accès basé sur un rôle et privilège minimum

ID : SOC 2 Type 2 CC6.3 Propriété : Partagé

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
3 propriétaires maximum doivent être désignés pour votre abonnement	Il est recommandé de désigner jusqu'à 3 propriétaires d'abonnement pour réduire le risque de violation par un propriétaire compromis.	AuditIfNotExists, Désactivé	3.0.0
Auditer les fonctions privilégiées	CMA_0019 – Auditer les fonctions privilégiées	Manuel, désactivé	1.1.0
Auditer l’utilisation des rôles RBAC personnalisés	Auditer des rôles intégrés tels que « Propriétaire, contributeur, lecteur » au lieu des rôles RBAC personnalisés, qui sont susceptibles d’engendrer des erreurs. L’utilisation de rôles personnalisés est traitée comme une exception et nécessite un contrôle rigoureux et la modélisation des menaces	Audit, Désactivé	1.0.1
Auditer l’état du compte d’utilisateur	CMA_0020 – Auditer l’état du compte d’utilisateur	Manuel, désactivé	1.1.0
Le contrôle d’accès en fonction du rôle Azure (RBAC) doit être utilisé sur Kubernetes Service	Pour fournir un filtrage précis des actions que les utilisateurs peuvent effectuer, utilisez le contrôle d’accès en fonction du rôle Azure (RBAC) pour gérer les autorisations dans les clusters Kubernetes Service et configurez les stratégies d’autorisation appropriées.	Audit, Désactivé	1.0.3
Les comptes bloqués disposant d’autorisations de propriétaire sur les ressources Azure doivent être supprimés	Les comptes déconseillés disposant d’autorisations de type propriétaire doivent être supprimés de votre abonnement. Les comptes déconseillés sont des comptes qui ont été empêchés de se connecter.	AuditIfNotExists, Désactivé	1.0.0
Les comptes bloqués disposant d’autorisations en lecture et en écriture sur les ressources Azure doivent être supprimés	Les comptes déconseillés doivent être supprimés de vos abonnements. Les comptes déconseillés sont des comptes qui ont été empêchés de se connecter.	AuditIfNotExists, Désactivé	1.0.0
Concevoir un modèle de contrôle d’accès	CMA_0129 – Concevoir un modèle de contrôle d’accès	Manuel, désactivé	1.1.0
Utiliser l’accès aux privilèges minimum	CMA_0212 – Utiliser l’accès aux privilèges minimum	Manuel, désactivé	1.1.0
Les comptes invités disposant d’autorisations de propriétaire sur les ressources Azure doivent être supprimés	Les comptes externes avec des autorisations de type propriétaire doivent être supprimés de votre abonnement pour empêcher un accès non contrôlé.	AuditIfNotExists, Désactivé	1.0.0
Les comptes invités disposant d’autorisations en lecture sur les ressources Azure doivent être supprimés	Les comptes externes avec des privilèges d'accès en lecture doivent être supprimés de votre abonnement afin d'empêcher un accès non contrôlé.	AuditIfNotExists, Désactivé	1.0.0
Les comptes invités disposant d’autorisations en écriture sur les ressources Azure doivent être supprimés	Les comptes externes avec des privilèges d'accès en écriture doivent être supprimés de votre abonnement afin d'empêcher un accès non contrôlé.	AuditIfNotExists, Désactivé	1.0.0
Surveiller l’attribution de rôle privilégié	CMA_0378 – Surveiller l’attribution de rôle privilégié	Manuel, désactivé	1.1.0
Restreindre l’accès aux comptes privilégiés	CMA_0446 – Restreindre l’accès aux comptes privilégiés	Manuel, désactivé	1.1.0
Examiner les journaux d’approvisionnement de compte	CMA_0460 – Examiner les journaux d’approvisionnement de compte	Manuel, désactivé	1.1.0
Réviser les comptes d’utilisateur	CMA_0480 – Passer en revue les comptes d’utilisateurs	Manuel, désactivé	1.1.0
Passer en revue les privilèges utilisateur	CMA_C1039 – Vérifier les privilèges utilisateur	Manuel, désactivé	1.1.0
Révoquer les rôles privilégiés selon les besoins	CMA_0483 – Révoquer les rôles privilégiés selon les besoins	Manuel, désactivé	1.1.0
Plusieurs propriétaires doivent être attribués à votre abonnement	Il est recommandé de désigner plusieurs propriétaires d'abonnement pour disposer de la redondance de l'accès administrateur.	AuditIfNotExists, Désactivé	3.0.0
Utiliser Privileged Identity Management	CMA_0533 – Utiliser la gestion des identités privilégiées	Manuel, désactivé	1.1.0

Accès physique restreint

ID : SOC 2 Type 2 CC6.4 Propriété : Partagé

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Contrôler l’accès physique	CMA_0081 – Contrôler l’accès physique	Manuel, désactivé	1.1.0

Protections logiques et physiques des biens matériels

ID : SOC 2 Type 2 CC6.5 Propriété : Partagé

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Utiliser un mécanisme de nettoyage des médias	CMA_0208 - Utiliser un mécanisme de nettoyage des médias	Manuel, désactivé	1.1.0
Implémenter des contrôles pour sécuriser tous les supports	CMA_0314 – Implémenter des contrôles pour sécuriser tous les supports	Manuel, désactivé	1.1.0

Mesures de sécurité contre les menaces extérieures aux limites du système

ID : SOC 2 Type 2 CC6.6 Propriété : Partagé

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Les comptes disposant d’autorisations de propriétaire sur les ressources Azure doivent être compatibles avec l’authentification multifacteur	MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant d'autorisations de propriétaire afin d'éviter une violation des comptes ou des ressources.	AuditIfNotExists, Désactivé	1.0.0
Les comptes disposant d’autorisations en lecture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur	MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en lecture afin d'éviter une violation des comptes ou des ressources.	AuditIfNotExists, Désactivé	1.0.0
Les comptes disposant d’autorisations en écriture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur	MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en écriture pour éviter une violation des comptes ou des ressources.	AuditIfNotExists, Désactivé	1.0.0
Adopter des mécanismes d’authentification biométrique	CMA_0005 – Adopter des mécanismes d’authentification biométrique	Manuel, désactivé	1.1.0
Tous les ports réseau doivent être restreints sur les groupes de sécurité réseau associés à votre machine virtuelle	Azure Security Center a identifié qu’une partie des règles de trafic entrant de vos groupes de sécurité réseau est trop permissive. Les règles de trafic entrant ne doivent pas autoriser l’accès à partir des plages « Tout » ou « Internet ». Cela peut permettre aux attaquants de cibler vos ressources.	AuditIfNotExists, Désactivé	3.0.0
Les applications App Service doivent être accessibles uniquement via HTTPS	L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau.	Audit, Désactivé, Refus	4.0.0
Les applications App Service doivent exiger FTPS uniquement	Activer la mise en œuvre de FTPS pour renforcer la sécurité.	AuditIfNotExists, Désactivé	3.0.0
L’authentification auprès des machines Linux doit exiger des clés SSH	Bien que le protocole SSH lui-même offre une connexion chiffrée, l’utilisation de mots de passe avec SSH laisse néanmoins la machine virtuelle vulnérable aux attaques en force brute. L’option la plus sûre pour l’authentification auprès d’une machine virtuelle Linux Azure via SSH est d’utiliser une paire de clés publique-privée, également appelées clés SSH. En savoir plus : https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed.	AuditIfNotExists, Désactivé	2.4.0
Autoriser l’accès à distance	CMA_0024 – Autoriser l’accès à distance	Manuel, désactivé	1.1.0
Azure Web Application Firewall doit être activé pour les points d’entrée Azure Front Door	Déployez Azure Web Application Firewall (WAF) devant les applications web publiques pour bénéficier d’un contrôle supplémentaire du trafic entrant. Web Application Firewall (WAF) offre une protection centralisée de vos applications web contre les codes malveillants exploitant une faille de sécurité et les vulnérabilités telles que les injections de code SQL, le scripting inter-site, les exécutions de fichiers locales et à distance. Vous pouvez également restreindre l’accès à vos applications web par pays, plages d’adresses IP et autres paramètres http(s) par le biais de règles personnalisées.	Audit, Refuser, Désactivé	1.0.2
Flux d’informations de contrôle	CMA_0079 – Flux d’informations de contrôle	Manuel, désactivé	1.1.0
Formation sur la mobilité des documents	CMA_0191 – Formation sur la mobilité des documents	Manuel, désactivé	1.1.0
Documentation des instructions d’accès à distance	CMA_0196 – Documentation des instructions d’accès à distance	Manuel, désactivé	1.1.0
Utiliser des mécanismes de contrôle de flux d’informations chiffrées	CMA_0211 – Utiliser des mécanismes de contrôle de flux d’informations chiffrées	Manuel, désactivé	1.1.0
L’application de la connexion SSL doit être activée pour les serveurs de base de données MySQL	La base de données Azure pour MySQL prend en charge la connexion de votre serveur Azure Database pour MySQL aux applications clientes à l’aide de Secure Sockets Layer (SSL). L’application de connexions SSL entre votre serveur de base de données et vos applications clientes vous protège contre les « attaques de l’intercepteur » en chiffrant le flux de données entre le serveur et votre application. Cette configuration garantit que le protocole SSL est toujours activé pour l’accès à votre serveur de base de données.	Audit, Désactivé	1.0.1
L’application de la connexion SSL doit être activée pour les serveurs de base de données PostgreSQL	Azure Database pour PostgreSQL prend en charge la connexion de votre serveur Azure Database pour PostgreSQL aux applications clientes via SSL (Secure Sockets Layer). L’application de connexions SSL entre votre serveur de base de données et vos applications clientes vous protège contre les « attaques de l’intercepteur » en chiffrant le flux de données entre le serveur et votre application. Cette configuration garantit que le protocole SSL est toujours activé pour l’accès à votre serveur de base de données.	Audit, Désactivé	1.0.1
Établir des normes de configuration de pare-feu et de routeur	CMA_0272 – Établir des normes de configuration de pare-feu et de routeur	Manuel, désactivé	1.1.0
Établir une segmentation réseau pour l’environnement de données du titulaire de carte	CMA_0273 – Établir une segmentation réseau pour l’environnement de données du titulaire de carte	Manuel, désactivé	1.1.0
Les applications Function App ne doivent être accessibles que via HTTPS	L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau.	Audit, Désactivé, Refus	5.0.0
Les applications de fonction doivent exiger FTPS uniquement	Activer la mise en œuvre de FTPS pour renforcer la sécurité.	AuditIfNotExists, Désactivé	3.0.0
Les applications de fonctions doivent utiliser la dernière version TLS	Régulièrement, de nouvelles versions sont publiées pour le stockage local de thread (TLS), soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications de fonction afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités.	AuditIfNotExists, Désactivé	2.0.1
Identifier et authentifier les périphériques réseau	CMA_0296 – Identifier et authentifier les périphériques réseau	Manuel, désactivé	1.1.0
Identifier et gérer les échanges d’informations en aval	CMA_0298 – Identifier et gérer les échanges d’informations en aval	Manuel, désactivé	1.1.0
Implémenter des contrôles pour sécuriser d’autres sites de travail	CMA_0315 – Implémenter des contrôles pour sécuriser d’autres sites de travail	Manuel, désactivé	1.1.0
Implémenter la protection des limites des systèmes	CMA_0328 - Implémenter la protection des limites des systèmes	Manuel, désactivé	1.1.0
Les machines virtuelles accessibles à partir d’Internet doivent être protégées avec des groupes de sécurité réseau	Protégez vos machines virtuelles contre les menaces potentielles en limitant leur accès avec des groupes de sécurité réseau (NSG). Pour en savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau, consultez https://aka.ms/nsg-doc.	AuditIfNotExists, Désactivé	3.0.0
Le transfert IP doit être désactivé sur votre machine virtuelle	L’activation du transfert IP sur la carte réseau d’une machine virtuelle permet à cette dernière de recevoir du trafic adressé à d’autres destinations. Le transfert IP n'est que rarement nécessaire (par exemple, lors de l'utilisation de la machine virtuelle en tant qu'appliance virtuelle de réseau). Par conséquent, un examen par l'équipe de sécurité réseau est requis.	AuditIfNotExists, Désactivé	3.0.0
Les clusters Kubernetes doivent être accessibles uniquement par le biais de HTTPS	L’utilisation de HTTPS garantit l’authentification et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. Cette capacité est actuellement en disponibilité générale pour Kubernetes Service (AKS) et en préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc	audit, Audit, refus, Refus, désactivé, Désactivé	9.1.0
Les ports de gestion des machines virtuelles doivent être protégés par un contrôle d’accès réseau juste-à-temps	L’éventuel accès juste-à-temps (JIT) au réseau sera supervisé par Azure Security Center en tant que recommandation	AuditIfNotExists, Désactivé	3.0.0
Les ports de gestion doivent être fermés sur vos machines virtuelles	Les ports de gestion à distance ouverts exposent votre machine virtuelle à un niveau de risque élevé des attaques basées sur Internet. Ces attaques tentent d’attaquer par force brute les informations d’identification afin d’obtenir un accès administrateur à l’ordinateur.	AuditIfNotExists, Désactivé	3.0.0
Les machines virtuelles non connectées à Internet doivent être protégées avec des groupes de sécurité réseau	Protégez vos machines virtuelles non connectées à Internet contre les menaces potentielles en limitant l’accès avec des groupes de sécurité réseau (NSG). Pour en savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau, consultez https://aka.ms/nsg-doc.	AuditIfNotExists, Désactivé	3.0.0
Avertir les utilisateurs de l’ouverture de session ou de l’accès au système	CMA_0382 - Avertir les utilisateurs de l’ouverture de session ou de l’accès au système	Manuel, désactivé	1.1.0
Seules les connexions sécurisées à votre instance Azure Cache pour Redis doivent être activées	Auditer l’activation des connexions établies uniquement par le biais de SSL au cache Azure pour Redis. L'utilisation de connexions sécurisées garantit l'authentification entre le serveur et le service et protège les données en transit contre les attaques de la couche réseau (attaque de l'intercepteur ou « man-in-the-middle », écoute clandestine, détournement de session).	Audit, Refuser, Désactivé	1.0.0
Protéger les données en transit à l’aide du chiffrement	CMA_0403 – Protéger les données en transit à l’aide du chiffrement	Manuel, désactivé	1.1.0
Fournir une formation sur la confidentialité	CMA_0415 – Fournir une formation sur la confidentialité	Manuel, désactivé	1.1.0
La sécurisation du transfert vers des comptes de stockage doit être activée	Auditer l’exigence de transfert sécurisé dans votre compte de stockage. L’option de sécurisation du transfert oblige votre compte de stockage à accepter uniquement des requêtes provenant de connexions sécurisées (HTTPS). L’utilisation de HTTPS garantit l’authentification entre le serveur et le service et protège les données en transit contre les attaques de la couche réseau (attaque de l’intercepteur ou « man-in-the-middle », écoute clandestine, détournement de session)	Audit, Refuser, Désactivé	2.0.0
les sous-réseaux doivent être associés à un groupe de sécurité réseau	Protégez votre sous-réseau contre les menaces potentielles en y limitant l’accès avec un groupe de sécurité réseau (NSG). Les NSG contiennent une liste de règles de liste de contrôle d’accès (ACL) qui autorisent ou refusent le trafic réseau vers votre sous-réseau.	AuditIfNotExists, Désactivé	3.0.0
Le pare-feu d’applications web (WAF) doit être activé pour Application Gateway	Déployez Azure Web Application Firewall (WAF) devant les applications web publiques pour bénéficier d’un contrôle supplémentaire du trafic entrant. Web Application Firewall (WAF) offre une protection centralisée de vos applications web contre les codes malveillants exploitant une faille de sécurité et les vulnérabilités telles que les injections de code SQL, le scripting inter-site, les exécutions de fichiers locales et à distance. Vous pouvez également restreindre l’accès à vos applications web par pays, plages d’adresses IP et autres paramètres http(s) par le biais de règles personnalisées.	Audit, Refuser, Désactivé	2.0.0
Les machines Windows doivent être configurées de façon à utiliser des protocoles de communication sécurisés	Pour protéger la confidentialité des informations communiquées sur Internet, vos machines doivent utiliser la dernière version du protocole de chiffrement standard, TLS (Transport Layer Security). TLS sécurise les communications sur un réseau en chiffrant une connexion entre les machines.	AuditIfNotExists, Désactivé	3.0.1

Réserver uniquement la diffusion des informations aux utilisateurs autorisés

ID : SOC 2 Type 2 CC6.7 Propriété : Partagé

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Tous les ports réseau doivent être restreints sur les groupes de sécurité réseau associés à votre machine virtuelle	Azure Security Center a identifié qu’une partie des règles de trafic entrant de vos groupes de sécurité réseau est trop permissive. Les règles de trafic entrant ne doivent pas autoriser l’accès à partir des plages « Tout » ou « Internet ». Cela peut permettre aux attaquants de cibler vos ressources.	AuditIfNotExists, Désactivé	3.0.0
Les applications App Service doivent être accessibles uniquement via HTTPS	L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau.	Audit, Désactivé, Refus	4.0.0
Les applications App Service doivent exiger FTPS uniquement	Activer la mise en œuvre de FTPS pour renforcer la sécurité.	AuditIfNotExists, Désactivé	3.0.0
Configurer des stations de travail pour rechercher des certificats numériques	CMA_0073 – Configurer des stations de travail pour rechercher des certificats numériques	Manuel, désactivé	1.1.0
Flux d’informations de contrôle	CMA_0079 – Flux d’informations de contrôle	Manuel, désactivé	1.1.0
Définir les exigences pour les appareils mobiles	CMA_0122 - Définir les exigences pour les appareils mobiles	Manuel, désactivé	1.1.0
Utiliser un mécanisme de nettoyage des médias	CMA_0208 - Utiliser un mécanisme de nettoyage des médias	Manuel, désactivé	1.1.0
Utiliser des mécanismes de contrôle de flux d’informations chiffrées	CMA_0211 – Utiliser des mécanismes de contrôle de flux d’informations chiffrées	Manuel, désactivé	1.1.0
L’application de la connexion SSL doit être activée pour les serveurs de base de données MySQL	La base de données Azure pour MySQL prend en charge la connexion de votre serveur Azure Database pour MySQL aux applications clientes à l’aide de Secure Sockets Layer (SSL). L’application de connexions SSL entre votre serveur de base de données et vos applications clientes vous protège contre les « attaques de l’intercepteur » en chiffrant le flux de données entre le serveur et votre application. Cette configuration garantit que le protocole SSL est toujours activé pour l’accès à votre serveur de base de données.	Audit, Désactivé	1.0.1
L’application de la connexion SSL doit être activée pour les serveurs de base de données PostgreSQL	Azure Database pour PostgreSQL prend en charge la connexion de votre serveur Azure Database pour PostgreSQL aux applications clientes via SSL (Secure Sockets Layer). L’application de connexions SSL entre votre serveur de base de données et vos applications clientes vous protège contre les « attaques de l’intercepteur » en chiffrant le flux de données entre le serveur et votre application. Cette configuration garantit que le protocole SSL est toujours activé pour l’accès à votre serveur de base de données.	Audit, Désactivé	1.0.1
Établir des normes de configuration de pare-feu et de routeur	CMA_0272 – Établir des normes de configuration de pare-feu et de routeur	Manuel, désactivé	1.1.0
Établir une segmentation réseau pour l’environnement de données du titulaire de carte	CMA_0273 – Établir une segmentation réseau pour l’environnement de données du titulaire de carte	Manuel, désactivé	1.1.0
Les applications Function App ne doivent être accessibles que via HTTPS	L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau.	Audit, Désactivé, Refus	5.0.0
Les applications de fonction doivent exiger FTPS uniquement	Activer la mise en œuvre de FTPS pour renforcer la sécurité.	AuditIfNotExists, Désactivé	3.0.0
Les applications de fonctions doivent utiliser la dernière version TLS	Régulièrement, de nouvelles versions sont publiées pour le stockage local de thread (TLS), soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications de fonction afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités.	AuditIfNotExists, Désactivé	2.0.1
Identifier et gérer les échanges d’informations en aval	CMA_0298 – Identifier et gérer les échanges d’informations en aval	Manuel, désactivé	1.1.0
Implémenter des contrôles pour sécuriser tous les supports	CMA_0314 – Implémenter des contrôles pour sécuriser tous les supports	Manuel, désactivé	1.1.0
Les machines virtuelles accessibles à partir d’Internet doivent être protégées avec des groupes de sécurité réseau	Protégez vos machines virtuelles contre les menaces potentielles en limitant leur accès avec des groupes de sécurité réseau (NSG). Pour en savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau, consultez https://aka.ms/nsg-doc.	AuditIfNotExists, Désactivé	3.0.0
Les clusters Kubernetes doivent être accessibles uniquement par le biais de HTTPS	L’utilisation de HTTPS garantit l’authentification et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. Cette capacité est actuellement en disponibilité générale pour Kubernetes Service (AKS) et en préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc	audit, Audit, refus, Refus, désactivé, Désactivé	9.1.0
Gérer le transport des ressources	CMA_0370 - Gérer le transport des ressources	Manuel, désactivé	1.1.0
Les ports de gestion des machines virtuelles doivent être protégés par un contrôle d’accès réseau juste-à-temps	L’éventuel accès juste-à-temps (JIT) au réseau sera supervisé par Azure Security Center en tant que recommandation	AuditIfNotExists, Désactivé	3.0.0
Les ports de gestion doivent être fermés sur vos machines virtuelles	Les ports de gestion à distance ouverts exposent votre machine virtuelle à un niveau de risque élevé des attaques basées sur Internet. Ces attaques tentent d’attaquer par force brute les informations d’identification afin d’obtenir un accès administrateur à l’ordinateur.	AuditIfNotExists, Désactivé	3.0.0
Les machines virtuelles non connectées à Internet doivent être protégées avec des groupes de sécurité réseau	Protégez vos machines virtuelles non connectées à Internet contre les menaces potentielles en limitant l’accès avec des groupes de sécurité réseau (NSG). Pour en savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau, consultez https://aka.ms/nsg-doc.	AuditIfNotExists, Désactivé	3.0.0
Seules les connexions sécurisées à votre instance Azure Cache pour Redis doivent être activées	Auditer l’activation des connexions établies uniquement par le biais de SSL au cache Azure pour Redis. L'utilisation de connexions sécurisées garantit l'authentification entre le serveur et le service et protège les données en transit contre les attaques de la couche réseau (attaque de l'intercepteur ou « man-in-the-middle », écoute clandestine, détournement de session).	Audit, Refuser, Désactivé	1.0.0
Protéger les données en transit à l’aide du chiffrement	CMA_0403 – Protéger les données en transit à l’aide du chiffrement	Manuel, désactivé	1.1.0
Protéger les mots de passe avec le chiffrement	CMA_0408 – Protéger les mots de passe avec le chiffrement	Manuel, désactivé	1.1.0
La sécurisation du transfert vers des comptes de stockage doit être activée	Auditer l’exigence de transfert sécurisé dans votre compte de stockage. L’option de sécurisation du transfert oblige votre compte de stockage à accepter uniquement des requêtes provenant de connexions sécurisées (HTTPS). L’utilisation de HTTPS garantit l’authentification entre le serveur et le service et protège les données en transit contre les attaques de la couche réseau (attaque de l’intercepteur ou « man-in-the-middle », écoute clandestine, détournement de session)	Audit, Refuser, Désactivé	2.0.0
les sous-réseaux doivent être associés à un groupe de sécurité réseau	Protégez votre sous-réseau contre les menaces potentielles en y limitant l’accès avec un groupe de sécurité réseau (NSG). Les NSG contiennent une liste de règles de liste de contrôle d’accès (ACL) qui autorisent ou refusent le trafic réseau vers votre sous-réseau.	AuditIfNotExists, Désactivé	3.0.0
Les machines Windows doivent être configurées de façon à utiliser des protocoles de communication sécurisés	Pour protéger la confidentialité des informations communiquées sur Internet, vos machines doivent utiliser la dernière version du protocole de chiffrement standard, TLS (Transport Layer Security). TLS sécurise les communications sur un réseau en chiffrant une connexion entre les machines.	AuditIfNotExists, Désactivé	3.0.1

Prévenir ou détecter les logiciels non autorisés ou malveillants

ID : SOC 2 Type 2 CC6.8 Propriété : Partagé

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
[Déconseillé] L’option « Certificats clients (certificats clients entrants) » doit être activée sur les applications de fonction	Les certificats clients permettent à l’application de demander un certificat pour les demandes entrantes. Seuls les clients disposant de certificats valides peuvent accéder à l’application. Cette stratégie a été remplacée par une nouvelle stratégie portant le même nom, car HTTP 2.0 ne prend pas en charge les certificats clients.	Audit, Désactivé	3.1.0-deprecated
Les contrôles d’application adaptatifs pour définir les applications sécurisées doivent être activés sur vos machines	Activer les contrôles d’application pour définir la liste des applications reconnues fiables qui s’exécutent sur vos machines, et vous avertir quand d’autres applications s’exécutent. La sécurité de vos machines contre les logiciels malveillants s’en trouve renforcée. Pour simplifier le processus de configuration et de maintenance de vos règles, Security Center utilise le Machine Learning pour analyser les applications qui s’exécutent sur chaque machine et suggérer la liste des applications reconnues fiables.	AuditIfNotExists, Désactivé	3.0.0
Les règles de liste verte dans votre stratégie de contrôle d’application adaptatif doivent être mises à jour	Supervisez les changements de comportement sur les groupes de machines configurés pour être audités par les contrôles d’application adaptatifs d’Azure Security Center. Security Center utilise le Machine Learning pour analyser les processus en cours d’exécution sur vos machines, et suggérer une liste d’applications reconnues fiables. Elles sont présentées comme des applications recommandées à autoriser dans les stratégies de contrôles d’application adaptatifs.	AuditIfNotExists, Désactivé	3.0.0
L’option « Certificats clients (certificats clients entrants) » doit être activée sur les applications App service	Les certificats clients permettent à l’application de demander un certificat pour les demandes entrantes. Seuls les clients disposant d’un certificat valide peuvent accéder à l’application. Cette stratégie s’applique aux applications avec la version HTTP définie sur 1.1.	AuditIfNotExists, Désactivé	1.0.0
Le débogage à distance doit être désactivé pour les applications App Service	Le débogage distant nécessite que des ports d’entrée soient ouverts sur une application App Service. Le débogage à distance doit être désactivé.	AuditIfNotExists, Désactivé	2.0.0
Les applications App Service ne doivent pas avoir de CORS configuré pour permettre à toutes les ressources d'accéder à vos applications	Le partage des ressources cross-origin (CORS) ne doit pas autoriser tous les domaines à accéder à votre application. Autorisez uniquement les domaines requis à interagir avec votre application.	AuditIfNotExists, Désactivé	2.0.0
Les applications App Service doivent utiliser la dernière « version HTTP »	Régulièrement, de nouvelles versions sont publiées pour HTTP, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. L’utilisation de la version de HTTP la plus récente est recommandée pour les applications web afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités.	AuditIfNotExists, Désactivé	4.0.0
Faire l’audit des machines virtuelles n’utilisant aucun disque managé	Cette stratégie fait l’audit des machines virtuelles n’utilisant pas de disque managé	audit	1.0.0
L’extension Azure Policy pour Azure Kubernetes Service (AKS) doit être installée et activée sur vos clusters	L’extension Azure Policy pour Azure Kubernetes Service (AKS) étend Gatekeeper v3, webhook de contrôleur d’admission pour Open Policy Agent (OPA), afin d’appliquer des mesures et des protections à grande échelle sur vos clusters de manière centralisée et cohérente.	Audit, Désactivé	1.0.2
Bloque les processus non approuvés et non signés qui s’exécutent par USB	CMA_0050 – Bloquer les processus non signés et non approuvés qui s'exécutent à partir d'un lecteur USB	Manuel, désactivé	1.1.0
La solution de protection du point de terminaison doit être installée sur les groupes de machines virtuelles identiques	Vérifiez l’existence et l’intégrité d’une solution Endpoint Protection dans vos groupes de machines virtuelles identiques, pour les protéger des menaces et des vulnérabilités.	AuditIfNotExists, Désactivé	3.0.0
Le débogage à distance doit être désactivé pour les applications de fonctions	Le débogage distant nécessite que des ports d’entrée soient ouverts sur les applications de fonction. Le débogage à distance doit être désactivé.	AuditIfNotExists, Désactivé	2.0.0
Les applications de fonctions ne doivent pas avoir de CORS configuré pour permettre à toutes les ressources d'accéder à vos applications	Le mécanisme CORS (Cross-Origin Resource Sharing) ne devrait pas autoriser tous les domaines à accéder à votre application de fonction. Autorisez uniquement les domaines nécessaires à interagir avec votre application de fonction.	AuditIfNotExists, Désactivé	2.0.0
Les applications de fonctions doivent utiliser la dernière « version HTTP »	Régulièrement, de nouvelles versions sont publiées pour HTTP, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. L’utilisation de la version de HTTP la plus récente est recommandée pour les applications web afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités.	AuditIfNotExists, Désactivé	4.0.0
L’extension Guest Configuration doit être installée sur vos machines	Pour garantir des configurations sécurisées des paramètres dans l’invité de votre machine, installez l’extension Guest Configuration. Parmi les paramètres dans l’invité qui sont supervisés par l’extension figurent la configuration du système d’exploitation, la présence ou la configuration de l’application et les paramètres d’environnement. Une fois l’installation terminée, les stratégies dans l’invité seront disponibles, par exemple « Windows Exploit Guard doit être activé ». Pour en savoir plus, rendez-vous sur https://aka.ms/gcpol.	AuditIfNotExists, Désactivé	1.0.2
Les limites de ressources processeur et de mémoire des conteneurs de clusters Kubernetes ne doivent pas dépasser les limites spécifiées	Appliquez des limites de ressources processeur et de mémoire au conteneur pour empêcher les attaques d’épuisement des ressources dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc.	audit, Audit, refus, Refus, désactivé, Désactivé	10.1.0
Les conteneurs de cluster Kubernetes ne doivent pas partager l’espace de noms de l’ID de processus hôte ou l’espace de noms IPC hôte	Empêche les conteneurs de pod de partager l’espace de noms de l’ID de processus hôte et l’espace de noms IPC hôte dans un cluster Kubernetes. Cette recommandation fait partie du CIS 5.2.2 et du CIS 5.2.3, qui visent à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc.	audit, Audit, refus, Refus, désactivé, Désactivé	6.1.0
Les conteneurs de cluster Kubernetes doivent utiliser uniquement des profils AppArmor autorisés	Les conteneurs de clusters Kubernetes doivent utiliser uniquement des profils AppArmor autorisés. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc.	audit, Audit, refus, Refus, désactivé, Désactivé	7.1.1
Les conteneurs de cluster Kubernetes doivent utiliser uniquement des fonctionnalités autorisées	Limitez les fonctionnalités afin de réduire la surface d’attaque des conteneurs dans un cluster Kubernetes. Cette recommandation fait partie du CIS 5.2.8 et du CIS 5.2.9, qui visent à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc.	audit, Audit, refus, Refus, désactivé, Désactivé	7.1.0
Les conteneurs de cluster Kubernetes doivent utiliser uniquement des fonctionnalités autorisées	Utilisez des images provenant de registres approuvés pour réduire le risque d’exposition du cluster Kubernetes aux vulnérabilités inconnues, aux problèmes de sécurité et aux images malveillantes. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc.	audit, Audit, refus, Refus, désactivé, Désactivé	10.1.1
Les conteneurs de cluster Kubernetes doivent s’exécuter avec un système de fichiers racine en lecture seule	Exécutez des conteneurs avec un système de fichiers racine en lecture seule pour le protéger contre les modifications au moment de l’exécution avec des fichiers binaires malveillants ajoutés au chemin d’accès dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc.	audit, Audit, refus, Refus, désactivé, Désactivé	7.1.0
Les volumes hostPath de pod de cluster Kubernetes doivent utiliser uniquement des chemins d’hôte autorisés	Limitez les montages de volume HostPath sur le pod aux chemins d’accès hôtes autorisés dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS) et pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc.	audit, Audit, refus, Refus, désactivé, Désactivé	7.1.1
Les pods et les conteneurs de cluster Kubernetes doivent être exécutés uniquement avec des ID d’utilisateur et de groupe approuvés	Contrôle les ID d’utilisateur, de groupe principal, de groupe supplémentaire et de groupe de systèmes de fichiers que les pods et les conteneurs peuvent utiliser pour s’exécuter dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc.	audit, Audit, refus, Refus, désactivé, Désactivé	7.1.1
Les pods de cluster Kubernetes doivent utiliser uniquement un réseau hôte et une plage de ports approuvés	Restreignez l’accès des pods au réseau hôte et à la plage de ports hôtes autorisés dans un cluster Kubernetes. Cette recommandation fait partie du CIS 5.2.4, qui vise à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc.	audit, Audit, refus, Refus, désactivé, Désactivé	7.1.0
Les services de cluster Kubernetes doivent écouter uniquement sur les ports autorisés	Limitez l’écoute des services aux ports autorisés pour sécuriser l’accès au cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc.	audit, Audit, refus, Refus, désactivé, Désactivé	9.1.0
Le cluster Kubernetes ne doit pas autoriser les conteneurs privilégiés	Ne pas autoriser pas la création de conteneurs privilégiés dans un cluster Kubernetes. Cette recommandation fait partie du CIS 5.2.1, qui vise à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc.	audit, Audit, refus, Refus, désactivé, Désactivé	10.1.0
Les clusters Kubernetes doivent désactiver le montage automatique des informations d’identification d’API	Désactivez le montage automatique des informations d’identification d’API pour empêcher une ressource Pod potentiellement compromise d’exécuter des commandes d’API sur des clusters Kubernetes. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc.	audit, Audit, refus, Refus, désactivé, Désactivé	5.1.0
Les clusters Kubernetes ne doivent pas autoriser la réaffectation de privilèges de conteneur	N’autorisez pas les conteneurs à s’exécuter avec une élévation des privilèges vers la racine dans un cluster Kubernetes. Cette recommandation fait partie du CIS 5.2.5, qui vise à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc.	audit, Audit, refus, Refus, désactivé, Désactivé	8.1.0
Les clusters Kubernetes ne doivent pas accorder de fonctionnalités de sécurité CAP_SYS_ADMIN	Pour réduire la surface d’attaque de vos conteneurs, limitez les fonctionnalités Linux CAP_SYS_ADMIN. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc.	audit, Audit, refus, Refus, désactivé, Désactivé	6.1.0
Les clusters Kubernetes ne doivent pas utiliser l’espace de noms par défaut	Empêchez l’utilisation de l’espace de noms par défaut dans les clusters Kubernetes pour éviter tout accès non autorisé aux types de ressources ConfigMap, Pod, Secret, Service et ServiceAccount. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc.	audit, Audit, refus, Refus, désactivé, Désactivé	5.1.0
Les machines Linux doivent répondre aux exigences de la base de référence de sécurité Azure Compute	Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si elles ne sont pas configurées correctement par rapport aux différentes recommandations de la base de référence de sécurité d’Azure Compute.	AuditIfNotExists, Désactivé	1.5.0
Gérer les passerelles	CMA_0363 – Gérer les passerelles	Manuel, désactivé	1.1.0
Superviser les agents Endpoint Protection manquants dans Azure Security Center	Les serveurs sans agent Endpoint Protection installé seront supervisés par Azure Security Center en tant que recommandation	AuditIfNotExists, Désactivé	3.1.0
Seules les extensions de machine virtuelle approuvées doivent être installées	Cette stratégie régit les extensions de machine virtuelle qui ne sont pas approuvées.	Audit, Refuser, Désactivé	1.0.0
Effectuer une analyse des tendances sur les menaces	CMA_0389 – Effectuer une analyse des tendances sur les menaces	Manuel, désactivé	1.1.0
Effectuer des analyses de vulnérabilité	CMA_0393 – Effectuer des analyses de vulnérabilité	Manuel, désactivé	1.1.0
Examiner le rapport hebdomadaire sur les détections de programmes malveillants	CMA_0475 – Examiner le rapport hebdomadaire sur les détections de programmes malveillants	Manuel, désactivé	1.1.0
Passer en revue l’état de la protection contre les menaces chaque semaine	CMA_0479 – Passer en revue l’état de la protection contre les menaces chaque semaine	Manuel, désactivé	1.1.0
Les comptes de stockage doivent autoriser l’accès à partir des services Microsoft approuvés	Certains services Microsoft qui interagissent avec les comptes de stockage fonctionnent à partir de réseaux qui ne peuvent pas obtenir l’accès par le biais des règles de réseau. Pour que ce type de service fonctionne comme prévu, autorisez l’ensemble des services Microsoft approuvés à contourner les règles de réseau. Ces services utilisent alors une authentification forte pour accéder au compte de stockage.	Audit, Refuser, Désactivé	1.0.0
Mettre à jour les définitions de l’antivirus	CMA_0517 – Mettre à jour les définitions de l’antivirus	Manuel, désactivé	1.1.0
Vérifier l’intégrité des logiciels, des microprogrammes et des informations	CMA_0542 – Vérifier l’intégrité des logiciels, des microprogrammes et des informations	Manuel, désactivé	1.1.0
Visualiser et configurer les données de diagnostic système	CMA_0544 - Visualiser et configurer les données de diagnostic système	Manuel, désactivé	1.1.0
L’extension Guest Configuration des machines virtuelles doit être déployée avec une identité managée attribuée par le système	L’extension Guest Configuration requiert une identité managée affectée par le système. Les machines virtuelles Azure se trouvant dans l’étendue de cette stratégie ne sont pas conformes quand elles disposent de l’extension Guest Configuration mais qu’elles n’ont pas d’identité managée affectée par le système. Pour en savoir plus, voir https://aka.ms/gcpol	AuditIfNotExists, Désactivé	1.0.1
Les machines Windows doivent répondre aux exigences de la base de référence de sécurité Azure Compute	Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si elles ne sont pas configurées correctement par rapport aux différentes recommandations de la base de référence de sécurité d’Azure Compute.	AuditIfNotExists, Désactivé	1.0.0

Opérations du système

Détection et analyse des nouvelles vulnérabilités

ID : SOC 2 Type 2 CC7.1 Propriété : Partagé

Surveiller les composants du système pour détecter tout comportement anormal

ID : SOC 2 Type 2 CC7.2 Propriété : Partagé

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
[Préversion] : l’extension Microsoft Defender pour le cloud doit être installée sur les clusters Kubernetes avec Azure Arc	L’extension Microsoft Defender pour le cloud pour Azure Arc fournit une protection contre les menaces à vos clusters Kubernetes compatibles avec Arc. L’extension collecte les données de tous les nœuds du cluster et les envoie au back-end Azure Defender pour Kubernetes dans le cloud pour une analyse plus approfondie. En savoir plus sur https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc.	AuditIfNotExists, Désactivé	4.0.1-preview
Une alerte de journal d’activité doit exister pour des opérations d’administration spécifiques	Cette stratégie audite des opérations d’administration spécifiques sans aucune alerte de journal d’activité configurée.	AuditIfNotExists, Désactivé	1.0.0
Une alerte de journal d’activité doit exister pour des opérations de stratégie spécifiques	Cette stratégie audite toute opération de stratégie spécifique sans aucune alerte de journal d’activité configurée.	AuditIfNotExists, Désactivé	3.0.0
Une alerte de journal d’activité doit exister pour des opérations de sécurité spécifiques	Cette stratégie audite des opérations de sécurité spécifiques sans aucune alerte de journal d’activité configurée.	AuditIfNotExists, Désactivé	1.0.0
Azure Defender pour les serveurs Azure SQL Database doit être activé	Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles.	AuditIfNotExists, Désactivé	1.0.2
Azure Defender pour Resource Manager doit être activé	Azure Defender pour Ressource Manager supervise automatiquement toutes les opérations de gestion de ressources dans votre organisation. Azure Defender détecte les menaces et vous alerte sur les activités suspectes. Découvrez-en plus sur les fonctionnalités d’Azure Defender pour Resource Manager sur https://aka.ms/defender-for-resource-manager. L’activation de ce plan Azure Defender entraîne des frais. Découvrez-en plus sur les détails de tarification par région sur la page de tarification de Security Center : https://aka.ms/pricing-security-center.	AuditIfNotExists, Désactivé	1.0.0
Azure Defender pour les serveurs doit être activé	Azure Defender pour les serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs, et génère des recommandations de durcissement, ainsi que des alertes sur les activités suspectes.	AuditIfNotExists, Désactivé	1.0.3
Vous devez activer Azure Defender pour SQL pour les serveurs Azure SQL non protégés	Auditer les serveurs SQL sans Advanced Data Security	AuditIfNotExists, Désactivé	2.0.1
Vous devez activer Azure Defender pour SQL pour les instances SQL Managed Instance non protégées	Auditez chaque instance managée SQL sans Advanced Data Security.	AuditIfNotExists, Désactivé	1.0.2
Détecter les services réseau qui n’ont pas été autorisés ou approuvés	CMA_C1700 – Détecter les services réseau qui n’ont pas été autorisés ou approuvés	Manuel, désactivé	1.1.0
Régir et surveiller les activités de traitement d’audit	CMA_0289 – Régir et surveiller les activités de traitement d’audit	Manuel, désactivé	1.1.0
Microsoft Defender pour les conteneurs doit être activé	Microsoft Defender pour les conteneurs fournit des protections renforcées, d’évaluation des vulnérabilités et d’exécution pour vos environnements Kubernetes Azure, hybrides et multiclouds.	AuditIfNotExists, Désactivé	1.0.0
Microsoft Defender pour le stockage (classique) doit être activé	Microsoft Defender pour le stockage (classique) permet de détecter les tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des comptes de stockage.	AuditIfNotExists, Désactivé	1.0.4
Effectuer une analyse des tendances sur les menaces	CMA_0389 – Effectuer une analyse des tendances sur les menaces	Manuel, désactivé	1.1.0
Windows Defender Exploit Guard doit être activé sur vos machines	Windows Defender Exploit Guard utilise l’agent de configuration d’invité Azure Policy. Windows Defender Exploit Guard compte quatre composants conçus pour verrouiller les appareils afin de les protéger contre un vaste éventail de vecteurs d’attaque et comportements de blocage couramment utilisés par les programmes malveillants, tout en permettant aux entreprises de trouver un juste équilibre entre sécurité et productivité (Windows uniquement).	AuditIfNotExists, Désactivé	1.1.1

Détection des incidents de sécurité

ID : SOC 2 Type 2 CC7.3 Propriété : Partagé

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Passer en revue et mettre à jour les stratégies et les procédures de réponse aux incidents	CMA_C1352 - Passer en revue et mettre à jour les stratégies et les procédures de réponse aux incidents	Manuel, désactivé	1.1.0

Réponse aux incidents de sécurité

ID : SOC 2 Type 2 CC7.4 Propriété : Partagé

Récupération après des cas d’incidents de sécurité identifiés

ID : SOC 2 Type 2 CC7.5 Propriété : Partagé

Gestion des changements

Modifications apportées à l’infrastructure, aux données et aux logiciels

ID : SOC 2 Type 2 CC8.1 Propriété : Partagé

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
[Déconseillé] L’option « Certificats clients (certificats clients entrants) » doit être activée sur les applications de fonction	Les certificats clients permettent à l’application de demander un certificat pour les demandes entrantes. Seuls les clients disposant de certificats valides peuvent accéder à l’application. Cette stratégie a été remplacée par une nouvelle stratégie portant le même nom, car HTTP 2.0 ne prend pas en charge les certificats clients.	Audit, Désactivé	3.1.0-deprecated
L’option « Certificats clients (certificats clients entrants) » doit être activée sur les applications App service	Les certificats clients permettent à l’application de demander un certificat pour les demandes entrantes. Seuls les clients disposant d’un certificat valide peuvent accéder à l’application. Cette stratégie s’applique aux applications avec la version HTTP définie sur 1.1.	AuditIfNotExists, Désactivé	1.0.0
Le débogage à distance doit être désactivé pour les applications App Service	Le débogage distant nécessite que des ports d’entrée soient ouverts sur une application App Service. Le débogage à distance doit être désactivé.	AuditIfNotExists, Désactivé	2.0.0
Les applications App Service ne doivent pas avoir de CORS configuré pour permettre à toutes les ressources d'accéder à vos applications	Le partage des ressources cross-origin (CORS) ne doit pas autoriser tous les domaines à accéder à votre application. Autorisez uniquement les domaines requis à interagir avec votre application.	AuditIfNotExists, Désactivé	2.0.0
Les applications App Service doivent utiliser la dernière « version HTTP »	Régulièrement, de nouvelles versions sont publiées pour HTTP, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. L’utilisation de la version de HTTP la plus récente est recommandée pour les applications web afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités.	AuditIfNotExists, Désactivé	4.0.0
Faire l’audit des machines virtuelles n’utilisant aucun disque managé	Cette stratégie fait l’audit des machines virtuelles n’utilisant pas de disque managé	audit	1.0.0
L’extension Azure Policy pour Azure Kubernetes Service (AKS) doit être installée et activée sur vos clusters	L’extension Azure Policy pour Azure Kubernetes Service (AKS) étend Gatekeeper v3, webhook de contrôleur d’admission pour Open Policy Agent (OPA), afin d’appliquer des mesures et des protections à grande échelle sur vos clusters de manière centralisée et cohérente.	Audit, Désactivé	1.0.2
Effectuer une analyse d’impact sur la sécurité	CMA_0057 - Effectuer une analyse d’impact sur la sécurité	Manuel, désactivé	1.1.0
Configurer des actions pour les appareils non conformes	CMA_0062 – Configurer des actions pour les appareils non conformes	Manuel, désactivé	1.1.0
Développer et gérer un standard de gestion des vulnérabilités	CMA_0152 - Développer et gérer un standard de gestion des vulnérabilités	Manuel, désactivé	1.1.0
Développer et tenir à jour les configurations de base	CMA_0153 – Développer et tenir à jour les configurations de base	Manuel, désactivé	1.1.0
Appliquer les paramètres de configuration de sécurité	CMA_0249 – Appliquer les paramètres de configuration de sécurité	Manuel, désactivé	1.1.0
Établir un panneau de configuration	CMA_0254 – Établir un panneau de configuration	Manuel, désactivé	1.1.0
Établir une stratégie de gestion des risques	CMA_0258 - Établir une stratégie de gestion des risques	Manuel, désactivé	1.1.0
Établir et documenter un plan de gestion de la configuration	CMA_0264 – Établir et documenter un plan de gestion de la configuration	Manuel, désactivé	1.1.0
Établir et documenter les processus de contrôle des modifications	CMA_0265 – Établir et documenter les processus de contrôle des modifications	Manuel, désactivé	1.1.0
Établir des exigences de gestion de configuration pour les développeurs	CMA_0270 - Établir des exigences de gestion de configuration pour les développeurs	Manuel, désactivé	1.1.0
Le débogage à distance doit être désactivé pour les applications de fonctions	Le débogage distant nécessite que des ports d’entrée soient ouverts sur les applications de fonction. Le débogage à distance doit être désactivé.	AuditIfNotExists, Désactivé	2.0.0
Les applications de fonctions ne doivent pas avoir de CORS configuré pour permettre à toutes les ressources d'accéder à vos applications	Le mécanisme CORS (Cross-Origin Resource Sharing) ne devrait pas autoriser tous les domaines à accéder à votre application de fonction. Autorisez uniquement les domaines nécessaires à interagir avec votre application de fonction.	AuditIfNotExists, Désactivé	2.0.0
Les applications de fonctions doivent utiliser la dernière « version HTTP »	Régulièrement, de nouvelles versions sont publiées pour HTTP, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. L’utilisation de la version de HTTP la plus récente est recommandée pour les applications web afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités.	AuditIfNotExists, Désactivé	4.0.0
L’extension Guest Configuration doit être installée sur vos machines	Pour garantir des configurations sécurisées des paramètres dans l’invité de votre machine, installez l’extension Guest Configuration. Parmi les paramètres dans l’invité qui sont supervisés par l’extension figurent la configuration du système d’exploitation, la présence ou la configuration de l’application et les paramètres d’environnement. Une fois l’installation terminée, les stratégies dans l’invité seront disponibles, par exemple « Windows Exploit Guard doit être activé ». Pour en savoir plus, rendez-vous sur https://aka.ms/gcpol.	AuditIfNotExists, Désactivé	1.0.2
Implémenter un outil de gestion de la configuration automatisée	CMA_0311 – Implémenter un outil de gestion de la configuration automatisée	Manuel, désactivé	1.1.0
Les limites de ressources processeur et de mémoire des conteneurs de clusters Kubernetes ne doivent pas dépasser les limites spécifiées	Appliquez des limites de ressources processeur et de mémoire au conteneur pour empêcher les attaques d’épuisement des ressources dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc.	audit, Audit, refus, Refus, désactivé, Désactivé	10.1.0
Les conteneurs de cluster Kubernetes ne doivent pas partager l’espace de noms de l’ID de processus hôte ou l’espace de noms IPC hôte	Empêche les conteneurs de pod de partager l’espace de noms de l’ID de processus hôte et l’espace de noms IPC hôte dans un cluster Kubernetes. Cette recommandation fait partie du CIS 5.2.2 et du CIS 5.2.3, qui visent à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc.	audit, Audit, refus, Refus, désactivé, Désactivé	6.1.0
Les conteneurs de cluster Kubernetes doivent utiliser uniquement des profils AppArmor autorisés	Les conteneurs de clusters Kubernetes doivent utiliser uniquement des profils AppArmor autorisés. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc.	audit, Audit, refus, Refus, désactivé, Désactivé	7.1.1
Les conteneurs de cluster Kubernetes doivent utiliser uniquement des fonctionnalités autorisées	Limitez les fonctionnalités afin de réduire la surface d’attaque des conteneurs dans un cluster Kubernetes. Cette recommandation fait partie du CIS 5.2.8 et du CIS 5.2.9, qui visent à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc.	audit, Audit, refus, Refus, désactivé, Désactivé	7.1.0
Les conteneurs de cluster Kubernetes doivent utiliser uniquement des fonctionnalités autorisées	Utilisez des images provenant de registres approuvés pour réduire le risque d’exposition du cluster Kubernetes aux vulnérabilités inconnues, aux problèmes de sécurité et aux images malveillantes. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc.	audit, Audit, refus, Refus, désactivé, Désactivé	10.1.1
Les conteneurs de cluster Kubernetes doivent s’exécuter avec un système de fichiers racine en lecture seule	Exécutez des conteneurs avec un système de fichiers racine en lecture seule pour le protéger contre les modifications au moment de l’exécution avec des fichiers binaires malveillants ajoutés au chemin d’accès dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc.	audit, Audit, refus, Refus, désactivé, Désactivé	7.1.0
Les volumes hostPath de pod de cluster Kubernetes doivent utiliser uniquement des chemins d’hôte autorisés	Limitez les montages de volume HostPath sur le pod aux chemins d’accès hôtes autorisés dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS) et pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc.	audit, Audit, refus, Refus, désactivé, Désactivé	7.1.1
Les pods et les conteneurs de cluster Kubernetes doivent être exécutés uniquement avec des ID d’utilisateur et de groupe approuvés	Contrôle les ID d’utilisateur, de groupe principal, de groupe supplémentaire et de groupe de systèmes de fichiers que les pods et les conteneurs peuvent utiliser pour s’exécuter dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc.	audit, Audit, refus, Refus, désactivé, Désactivé	7.1.1
Les pods de cluster Kubernetes doivent utiliser uniquement un réseau hôte et une plage de ports approuvés	Restreignez l’accès des pods au réseau hôte et à la plage de ports hôtes autorisés dans un cluster Kubernetes. Cette recommandation fait partie du CIS 5.2.4, qui vise à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc.	audit, Audit, refus, Refus, désactivé, Désactivé	7.1.0
Les services de cluster Kubernetes doivent écouter uniquement sur les ports autorisés	Limitez l’écoute des services aux ports autorisés pour sécuriser l’accès au cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc.	audit, Audit, refus, Refus, désactivé, Désactivé	9.1.0
Le cluster Kubernetes ne doit pas autoriser les conteneurs privilégiés	Ne pas autoriser pas la création de conteneurs privilégiés dans un cluster Kubernetes. Cette recommandation fait partie du CIS 5.2.1, qui vise à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc.	audit, Audit, refus, Refus, désactivé, Désactivé	10.1.0
Les clusters Kubernetes doivent désactiver le montage automatique des informations d’identification d’API	Désactivez le montage automatique des informations d’identification d’API pour empêcher une ressource Pod potentiellement compromise d’exécuter des commandes d’API sur des clusters Kubernetes. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc.	audit, Audit, refus, Refus, désactivé, Désactivé	5.1.0
Les clusters Kubernetes ne doivent pas autoriser la réaffectation de privilèges de conteneur	N’autorisez pas les conteneurs à s’exécuter avec une élévation des privilèges vers la racine dans un cluster Kubernetes. Cette recommandation fait partie du CIS 5.2.5, qui vise à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc.	audit, Audit, refus, Refus, désactivé, Désactivé	8.1.0
Les clusters Kubernetes ne doivent pas accorder de fonctionnalités de sécurité CAP_SYS_ADMIN	Pour réduire la surface d’attaque de vos conteneurs, limitez les fonctionnalités Linux CAP_SYS_ADMIN. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc.	audit, Audit, refus, Refus, désactivé, Désactivé	6.1.0
Les clusters Kubernetes ne doivent pas utiliser l’espace de noms par défaut	Empêchez l’utilisation de l’espace de noms par défaut dans les clusters Kubernetes pour éviter tout accès non autorisé aux types de ressources ConfigMap, Pod, Secret, Service et ServiceAccount. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc.	audit, Audit, refus, Refus, désactivé, Désactivé	5.1.0
Les machines Linux doivent répondre aux exigences de la base de référence de sécurité Azure Compute	Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si elles ne sont pas configurées correctement par rapport aux différentes recommandations de la base de référence de sécurité d’Azure Compute.	AuditIfNotExists, Désactivé	1.5.0
Seules les extensions de machine virtuelle approuvées doivent être installées	Cette stratégie régit les extensions de machine virtuelle qui ne sont pas approuvées.	Audit, Refuser, Désactivé	1.0.0
Effectuer une évaluation de l’impact sur la confidentialité	CMA_0387 - Effectuer une évaluation de l’impact sur la confidentialité	Manuel, désactivé	1.1.0
Effectuer une évaluation des risques	CMA_0388 - Effectuer une évaluation des risques	Manuel, désactivé	1.1.0
Effectuer un audit pour le contrôle des modifications de configuration	CMA_0390 - Effectuer un audit pour le contrôle des modifications de configuration	Manuel, désactivé	1.1.0
Les comptes de stockage doivent autoriser l’accès à partir des services Microsoft approuvés	Certains services Microsoft qui interagissent avec les comptes de stockage fonctionnent à partir de réseaux qui ne peuvent pas obtenir l’accès par le biais des règles de réseau. Pour que ce type de service fonctionne comme prévu, autorisez l’ensemble des services Microsoft approuvés à contourner les règles de réseau. Ces services utilisent alors une authentification forte pour accéder au compte de stockage.	Audit, Refuser, Désactivé	1.0.0
L’extension Guest Configuration des machines virtuelles doit être déployée avec une identité managée attribuée par le système	L’extension Guest Configuration requiert une identité managée affectée par le système. Les machines virtuelles Azure se trouvant dans l’étendue de cette stratégie ne sont pas conformes quand elles disposent de l’extension Guest Configuration mais qu’elles n’ont pas d’identité managée affectée par le système. Pour en savoir plus, voir https://aka.ms/gcpol	AuditIfNotExists, Désactivé	1.0.1
Les machines Windows doivent répondre aux exigences de la base de référence de sécurité Azure Compute	Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si elles ne sont pas configurées correctement par rapport aux différentes recommandations de la base de référence de sécurité d’Azure Compute.	AuditIfNotExists, Désactivé	1.0.0

Atténuation des risques

Activités d’atténuation des risques

ID : SOC 2 Type 2 CC9.1 Propriété : Partagé

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Déterminer les besoins en matière de protection des informations	CMA_C1750 - Déterminer les besoins en matière de protection des informations	Manuel, désactivé	1.1.0
Établir une stratégie de gestion des risques	CMA_0258 - Établir une stratégie de gestion des risques	Manuel, désactivé	1.1.0
Effectuer une évaluation des risques	CMA_0388 - Effectuer une évaluation des risques	Manuel, désactivé	1.1.0

Gestion des risques pour les fournisseurs et les partenaires commerciaux

ID : SOC 2 Type 2 CC9.2 Propriété : Partagé

Critères supplémentaires de confidentialité

Avis de confidentialité

ID: SOC 2 Type 2 P1.1 Propriété: Partagé

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Documenter et distribuer une stratégie de confidentialité	CMA_0188 - Documenter et distribuer une stratégie de confidentialité	Manuel, désactivé	1.1.0
Vérifier que les informations du programme de confidentialité sont disponibles publiquement	CMA_C1867 - Vérifier que les informations du programme de confidentialité sont disponibles publiquement	Manuel, désactivé	1.1.0
Implémenter des méthodes de remise de déclaration de confidentialité	CMA_0324 - Implémenter des méthodes de remise de déclaration de confidentialité	Manuel, désactivé	1.1.0
Fournir une déclaration de confidentialité	CMA_0414 - Fournir une déclaration de confidentialité	Manuel, désactivé	1.1.0
Fournir un avis de confidentialité au public et aux individus	CMA_C1861 - Fournir un avis de confidentialité au public et aux individus	Manuel, désactivé	1.1.0

ID : SOC 2 Type 2 P2.1 Propriété : Partagé

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Documenter l’acceptation des exigences de confidentialité par le personnel	CMA_0193 - Documenter l’acceptation des exigences de confidentialité par le personnel	Manuel, désactivé	1.1.0
Implémenter des méthodes de remise de déclaration de confidentialité	CMA_0324 - Implémenter des méthodes de remise de déclaration de confidentialité	Manuel, désactivé	1.1.0
Obtenir le consentement avant la collecte ou le traitement des données personnelles	CMA_0385 - Obtenir le consentement avant la collecte ou le traitement des données personnelles	Manuel, désactivé	1.1.0
Fournir une déclaration de confidentialité	CMA_0414 - Fournir une déclaration de confidentialité	Manuel, désactivé	1.1.0

Regroupement systématique d’informations personnelles

ID : SOC 2 Type 2 P3.1 Propriété : Partagé

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Identifier l’autorité légale compétente en matière de collecte d’informations d’identification personnelle	CMA_C1800 – Déterminer l’autorité juridique pour collecter les informations d’identification personnelle	Manuel, désactivé	1.1.0
Documenter le processus pour garantir l’intégrité des informations d’identification personnelle	CMA_C1827 - Documenter le processus pour garantir l’intégrité des informations d’identification personnelle	Manuel, désactivé	1.1.0
Évaluer et examiner régulièrement les conservations d’informations personnelles	CMA_C1832 - Évaluer et examiner régulièrement les conservations d’informations d’identification personnelle	Manuel, désactivé	1.1.0
Obtenir le consentement avant la collecte ou le traitement des données personnelles	CMA_0385 - Obtenir le consentement avant la collecte ou le traitement des données personnelles	Manuel, désactivé	1.1.0

ID : SOC 2 Type 2 P3.2 Propriété : Partagé

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Collecter des informations d’identification personnelle directement auprès de l’individu	CMA_C1822 – Collecter les informations d’identification personnelle directement auprès de l’individu	Manuel, désactivé	1.1.0
Obtenir le consentement avant la collecte ou le traitement des données personnelles	CMA_0385 - Obtenir le consentement avant la collecte ou le traitement des données personnelles	Manuel, désactivé	1.1.0

Traitement des informations personnelles

ID : SOC 2 Type 2 P4.1 Propriété : Partagé

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Documenter la base légale pour le traitement des informations personnelles	CMA_0206 - Documenter la base légale pour le traitement des données personnelles	Manuel, désactivé	1.1.0
Implémenter des méthodes de remise de déclaration de confidentialité	CMA_0324 - Implémenter des méthodes de remise de déclaration de confidentialité	Manuel, désactivé	1.1.0
Obtenir le consentement avant la collecte ou le traitement des données personnelles	CMA_0385 - Obtenir le consentement avant la collecte ou le traitement des données personnelles	Manuel, désactivé	1.1.0
Fournir une déclaration de confidentialité	CMA_0414 - Fournir une déclaration de confidentialité	Manuel, désactivé	1.1.0
Restreindre les communications	CMA_0449 - Restreindre les communications	Manuel, désactivé	1.1.0

Rétention des informations personnelles

ID : SOC 2 Type 2 P4.2 Propriété : Partagé

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Respecter les périodes de rétention définies	CMA_0004 – Respecter les périodes de rétention définies	Manuel, désactivé	1.1.0
Documenter le processus pour garantir l’intégrité des informations d’identification personnelle	CMA_C1827 - Documenter le processus pour garantir l’intégrité des informations d’identification personnelle	Manuel, désactivé	1.1.0

Suppression des informations personnelles

ID : SOC 2 Type 2 P4.3 Propriété : Partagé

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Effectuer une révision avant destruction	CMA_0391 - Effectuer une révision avant destruction	Manuel, désactivé	1.1.0
Vérifier que les données personnelles sont supprimées à la fin du traitement	CMA_0540 - Vérifier que les informations personnelles sont supprimées à la fin du traitement	Manuel, désactivé	1.1.0

Accès aux informations personnelles

ID : SOC 2 Type 2 P5.1 Propriété : Partagé

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Implémenter des méthodes pour les demandes des consommateurs	CMA_0319 - Implémenter des méthodes pour les demandes des consommateurs	Manuel, désactivé	1.1.0
Publier les règles et les réglementations pour accéder aux dossiers de la Loi sur la confidentialité	CMA_C1847 - Publier les règles et les réglementations pour accéder aux dossiers de la Loi sur la confidentialité	Manuel, désactivé	1.1.0

Vérification des informations personnelles

ID : SOC 2 Type 2 P5.2 Propriété : Partagé

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Répondre aux requêtes de rectification	CMA_0442 – Répondre aux requêtes de rectification	Manuel, désactivé	1.1.0

Divulgation d’informations personnelles à des tiers

ID : SOC 2 Type 2 P6.1 Propriété : Partagé

Divulgation autorisée d’un ensemble d’informations personnelles

ID : SOC 2 Type 2 P6.2 Propriété : Partagé

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Conserver une comptabilité précise des divulgations d’informations	CMA_C1818 - Conserver une comptabilité précise des divulgations d’informations	Manuel, désactivé	1.1.0

Divulgation non autorisée d’un ensemble d’informations personnelles

ID : SOC 2 Type 2 P6.3 Propriété : Partagé

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Conserver une comptabilité précise des divulgations d’informations	CMA_C1818 - Conserver une comptabilité précise des divulgations d’informations	Manuel, désactivé	1.1.0

Contrats avec des tiers

ID : SOC 2 Type 2 P6.4 Propriété : Partagé

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Définir les tâches des processeurs	CMA_0127 - Définir les tâches des processeurs	Manuel, désactivé	1.1.0

Notification de divulgation non autorisée d’informations à un tiers

ID : SOC 2 Type 2 P6.5 Propriété : Partagé

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Déterminer les obligations des contrats fournisseur	CMA_0140 - Déterminer les obligations des contrats fournisseur	Manuel, désactivé	1.1.0
Documenter les critères d’acceptation des contrats d’acquisition	CMA_0187 - Documenter les critères d’acceptation des contrats d’acquisition	Manuel, désactivé	1.1.0
Documenter la protection des données personnelles dans les contrats d’acquisition	CMA_0194 - Documenter la protection des données personnelles dans les contrats d’acquisition	Manuel, désactivé	1.1.0
Documenter la protection des informations de sécurité dans les contrats d’acquisition	CMA_0195 - Documenter la protection des informations de sécurité dans les contrats d’acquisition	Manuel, désactivé	1.1.0
Documenter les exigences pour l’utilisation des données partagées dans les contrats	CMA_0197 - Documenter les exigences pour l’utilisation des données partagées dans les contrats	Manuel, désactivé	1.1.0
Documenter les exigences d’assurance de sécurité dans les contrats d’acquisition	CMA_0199 - Documenter les exigences d’assurance de sécurité dans les contrats d’acquisition	Manuel, désactivé	1.1.0
Documenter les exigences de documentation de sécurité dans les contrats d’acquisition	CMA_0200 - Documenter les exigences de documentation de sécurité dans les contrats d’acquisition	Manuel, désactivé	1.1.0
Documenter les exigences fonctionnelles de sécurité dans les contrats d’acquisition	CMA_0201 - Documenter les exigences fonctionnelles de sécurité dans les contrats d’acquisition	Manuel, désactivé	1.1.0
Documenter les exigences de niveau de sécurité dans les contrats d’acquisition	CMA_0203 - Documenter les exigences de niveau de sécurité dans les contrats d’acquisition	Manuel, désactivé	1.1.0
Documenter l’environnement du système d’information dans les contrats d’acquisition	CMA_0205 - Documenter l’environnement du système d’information dans les contrats d’acquisition	Manuel, désactivé	1.1.0
Documenter la protection des données des détenteurs de carte dans les contrats de tiers	CMA_0207 - Documenter la protection des données des détenteurs de carte dans les contrats de tiers	Manuel, désactivé	1.1.0
Sécurité des informations et protection des données personnelles	CMA_0332 - Sécurité des informations et protection des données personnelles	Manuel, désactivé	1.1.0

Notification d’incident de confidentialité

ID : SOC 2 Type 2 P6.6 Propriété : Partagé

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Mettez sur pied un plan de réponse en cas d'incident	CMA_0145 – Développer un plan de réponse aux incidents	Manuel, désactivé	1.1.0
Sécurité des informations et protection des données personnelles	CMA_0332 - Sécurité des informations et protection des données personnelles	Manuel, désactivé	1.1.0

Registre des divulgations d’informations personnelles

ID : SOC 2 Type 2 P6.7 Propriété : Partagé

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Implémenter des méthodes de remise de déclaration de confidentialité	CMA_0324 - Implémenter des méthodes de remise de déclaration de confidentialité	Manuel, désactivé	1.1.0
Conserver une comptabilité précise des divulgations d’informations	CMA_C1818 - Conserver une comptabilité précise des divulgations d’informations	Manuel, désactivé	1.1.0
Rendre la comptabilité des divulgations disponible sur demande	CMA_C1820 - Rendre la comptabilité des divulgations disponible sur demande	Manuel, désactivé	1.1.0
Fournir une déclaration de confidentialité	CMA_0414 - Fournir une déclaration de confidentialité	Manuel, désactivé	1.1.0
Restreindre les communications	CMA_0449 - Restreindre les communications	Manuel, désactivé	1.1.0

Qualité des informations personnelles

ID : SOC 2 Type 2 P7.1 Propriété : Partagé

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Confirmer la qualité et l’intégrité des informations d’identification personnelle	CMA_C1821 - Confirmer la qualité et l’intégrité des informations d’identification personnelle	Manuel, désactivé	1.1.0
Émettre des recommandations relatives à la garantie de la qualité et de l’intégrité des données	CMA_C1824 - Émettre des recommandations relatives à la garantie de la qualité et de l’intégrité des données	Manuel, désactivé	1.1.0
Vérifier les informations d’identification personnelle inexactes ou obsolètes	CMA_C1823 – Vérifier les informations d’identification personnelle inexactes ou obsolètes	Manuel, désactivé	1.1.0

Gestion des plaintes relatives à la confidentialité et gestion de la conformité

ID : SOC 2 Type 2 P8.1 Propriété : Partagé

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Documenter et implémenter des procédures de plaintes relatives à la protection de la vie privée	CMA_0189 - Documenter et implémenter des procédures de plaintes relatives à la protection de la vie privée	Manuel, désactivé	1.1.0
Évaluer et examiner régulièrement les conservations d’informations personnelles	CMA_C1832 - Évaluer et examiner régulièrement les conservations d’informations d’identification personnelle	Manuel, désactivé	1.1.0
Sécurité des informations et protection des données personnelles	CMA_0332 - Sécurité des informations et protection des données personnelles	Manuel, désactivé	1.1.0
Répondre aux plaintes, aux préoccupations ou aux questions en temps opportun	CMA_C1853 – Répondre aux plaintes, aux préoccupations ou aux questions en temps opportun	Manuel, désactivé	1.1.0
Former le personnel sur le partage d’informations personnelles et ses conséquences	CMA_C1871 - Former le personnel sur le partage d’informations personnelles et ses conséquences	Manuel, désactivé	1.1.0

Critères supplémentaires pour le traitement de l’intégrité

Définitions du traitement de données

ID : SOC 2 Type 2 PI1.1 Propriété : Partagé

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Implémenter des méthodes de remise de déclaration de confidentialité	CMA_0324 - Implémenter des méthodes de remise de déclaration de confidentialité	Manuel, désactivé	1.1.0
Fournir une déclaration de confidentialité	CMA_0414 - Fournir une déclaration de confidentialité	Manuel, désactivé	1.1.0
Restreindre les communications	CMA_0449 - Restreindre les communications	Manuel, désactivé	1.1.0

Entrées système sur l’exhaustivité et la précision

ID : SOC 2 Type 2 PI1.2 Propriété : Partagé

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Effectuer la validation des entrées d’informations	CMA_C1723 - Effectuer la validation des entrées d’informations	Manuel, désactivé	1.1.0

Traitement du système

ID : SOC 2 Type 2 PI1.3 Propriété : Partagé

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Contrôler l’accès physique	CMA_0081 – Contrôler l’accès physique	Manuel, désactivé	1.1.0
Générer des messages d’erreur	CMA_C1724 - Générer des messages d’erreur	Manuel, désactivé	1.1.0
Gérer l’entrée, la sortie, le traitement et le stockage des données	CMA_0369 – Gérer l’entrée, la sortie, le traitement et le stockage des données	Manuel, désactivé	1.1.0
Effectuer la validation des entrées d’informations	CMA_C1723 - Effectuer la validation des entrées d’informations	Manuel, désactivé	1.1.0
Examiner l’activité et l’analytique de l’étiquette	CMA_0474 – Examiner l’activité et l’analytique de l’étiquette	Manuel, désactivé	1.1.0

La sortie du système est complète, précise et ponctuelle

ID : SOC 2 Type 2 PI1.4 Propriété : Partagé

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Contrôler l’accès physique	CMA_0081 – Contrôler l’accès physique	Manuel, désactivé	1.1.0
Gérer l’entrée, la sortie, le traitement et le stockage des données	CMA_0369 – Gérer l’entrée, la sortie, le traitement et le stockage des données	Manuel, désactivé	1.1.0
Examiner l’activité et l’analytique de l’étiquette	CMA_0474 – Examiner l’activité et l’analytique de l’étiquette	Manuel, désactivé	1.1.0

Stocker les données d’entrée et de sortie de manière complète, précise et ponctuelle

ID : SOC 2 Type 2 PI1.5 Propriété : Partagé

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
La sauvegarde Azure doit être activée pour les machines virtuelles	Assurez la protection de vos machines virtuelles Azure en activant la sauvegarde Azure. La Sauvegarde Azure est une solution de protection des données sécurisée et économique pour Azure.	AuditIfNotExists, Désactivé	3.0.0
Contrôler l’accès physique	CMA_0081 – Contrôler l’accès physique	Manuel, désactivé	1.1.0
Établir des stratégies et des procédures de sauvegarde	CMA_0268 - Établir des stratégies et des procédures de sauvegarde	Manuel, désactivé	1.1.0
La sauvegarde géoredondante doit être activée pour Azure Database for MariaDB	Azure Database for MariaDB vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région jumelée pour offrir une possibilité de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création du serveur.	Audit, Désactivé	1.0.1
La sauvegarde géoredondante doit être activée pour Azure Database pour MySQL	Azure Database pour MySQL vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région jumelée pour offrir une possibilité de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création du serveur.	Audit, Désactivé	1.0.1
La sauvegarde géoredondante doit être activée pour Azure Database pour PostgreSQL	Azure Database pour PostgreSQL vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région jumelée pour offrir une possibilité de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création du serveur.	Audit, Désactivé	1.0.1
Implémenter des contrôles pour sécuriser tous les supports	CMA_0314 – Implémenter des contrôles pour sécuriser tous les supports	Manuel, désactivé	1.1.0
Gérer l’entrée, la sortie, le traitement et le stockage des données	CMA_0369 – Gérer l’entrée, la sortie, le traitement et le stockage des données	Manuel, désactivé	1.1.0
Examiner l’activité et l’analytique de l’étiquette	CMA_0474 – Examiner l’activité et l’analytique de l’étiquette	Manuel, désactivé	1.1.0
Stocker séparément les informations de sauvegarde	CMA_C1293 - Stocker séparément les informations de sauvegarde	Manuel, désactivé	1.1.0

Étapes suivantes

Autres articles sur Azure Policy :

Présentation de la Conformité réglementaire.
Voir la structure de la définition d’initiative.
Passez en revue d’autres exemples de la page Exemples Azure Policy.
Consultez la page Compréhension des effets de Policy.
Découvrez comment corriger des ressources non conformes.

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Évaluer les événements de sécurité des informations	CMA_0013 - Évaluer les événements de sécurité des informations	Manuel, désactivé	1.1.0
Coordonner les plans d’urgence avec les plans associés	CMA_0086 - Coordonner les plans d’urgence avec les plans associés	Manuel, désactivé	1.1.0
Mettez sur pied un plan de réponse en cas d'incident	CMA_0145 – Développer un plan de réponse aux incidents	Manuel, désactivé	1.1.0
Développer des protections de sécurité	CMA_0161 - Développer des protections de sécurité	Manuel, désactivé	1.1.0
La notification par e-mail pour les alertes à gravité élevée doit être activée	Pour informer les personnes concernées de votre organisation d’une violation de sécurité potentielle dans l’un de vos abonnements, activez les notifications par e-mail pour les alertes à gravité élevée dans Security Center.	AuditIfNotExists, Désactivé	1.0.1
La notification par e-mail au propriétaire de l’abonnement pour les alertes à gravité élevée doit être activée	Pour informer les propriétaires d’abonnement d’une violation de sécurité potentielle dans leur abonnement, activez l’envoi de notifications par e-mail à ces propriétaires pour les alertes à gravité élevée dans Security Center.	AuditIfNotExists, Désactivé	2.0.0
Activer la protection du réseau	CMA_0238 - Activer la protection réseau	Manuel, désactivé	1.1.0
Éradiquer les informations contaminées	CMA_0253 - Éradiquer les informations contaminées	Manuel, désactivé	1.1.0
Exécuter des actions en réponse à des fuites d’informations	CMA_0281 - Exécuter des actions en réponse à des fuites d’informations	Manuel, désactivé	1.1.0
Identifier les classes d’incidents et d’actions prises	CMA_C1365 - Identifier les classes d’incidents et d’actions effectuées	Manuel, désactivé	1.1.0
Implémenter une gestion des incidents	CMA_0318 - Implémenter une gestion des incidents	Manuel, désactivé	1.1.0
Inclure la reconfiguration dynamique des ressources déployées par le client	CMA_C1364 – Inclure la reconfiguration dynamique des ressources déployées par le client	Manuel, désactivé	1.1.0
Gérer le plan de réponse aux incidents	CMA_0352 - Gérer le plan de réponse aux incidents	Manuel, désactivé	1.1.0
Network Watcher doit être activé	Network Watcher est un service régional qui vous permet de surveiller et de diagnostiquer l’état au niveau d’un scénario réseau dans, vers et depuis Azure. La surveillance au niveau des scénarios vous permet de diagnostiquer les problèmes avec une vue de bout en bout du réseau. Vous devez créer un groupe de ressources Network Watcher dans chaque région où un réseau virtuel est présent. Une alerte est activée dans le cas où aucun groupe de ressources Network Watcher n’est disponible dans une région donnée.	AuditIfNotExists, Désactivé	3.0.0
Effectuer une analyse des tendances sur les menaces	CMA_0389 – Effectuer une analyse des tendances sur les menaces	Manuel, désactivé	1.1.0
Les abonnements doivent avoir l’adresse e-mail d’un contact pour le signalement des problèmes de sécurité	Pour informer les personnes concernées de votre organisation d’une violation de sécurité potentielle dans l’un de vos abonnements, définissez un contact de sécurité qui recevra des notifications par e-mail dans Security Center.	AuditIfNotExists, Désactivé	1.0.1
Visualiser et examiner les utilisateurs restreints	CMA_0545 - Visualiser et examiner les utilisateurs restreints	Manuel, désactivé	1.1.0

Détails de l’initiative intégrée SOC (System and Organization Controls) 2 (Azure Government) Regulatory Compliance

Critères supplémentaires pour la disponibilité

Gestion de la capacité

Protections environnementales, logiciels, processus de sauvegarde des données et infrastructure de récupération

Test du plan de récupération

Critères supplémentaires de confidentialité

Protection des informations confidentielles

Suppression des informations confidentielles

Environnement de contrôle

Principe 1 de COSO

Principe 2 de COSO

Principe 3 de COSO

Principe 4 de COSO

Principe COSO 5

Communication et informations

Principe 13 de COSO

Principe 14 de COSO

Principe 15 de COSO

Évaluation des risques

Principe 6 de COSO

Principe COSO 7

Principe COSO 8

Principe 9 de COSO

Activités d’analyse

Principe 16 de COSO

Principe 17 de COSO

Activités de contrôle

Principe 10 de COSO

Principe 11 de COSO

Principe 12 de COSO

Contrôles d’accès logiques et physiques

Architectures, infrastructure et logiciels de sécurité d’accès logique

Approvisionnement et suppression de l’accès

Accès basé sur un rôle et privilège minimum

Accès physique restreint

Protections logiques et physiques des biens matériels

Mesures de sécurité contre les menaces extérieures aux limites du système

Réserver uniquement la diffusion des informations aux utilisateurs autorisés

Prévenir ou détecter les logiciels non autorisés ou malveillants

Opérations du système

Détection et analyse des nouvelles vulnérabilités

Surveiller les composants du système pour détecter tout comportement anormal

Détection des incidents de sécurité

Réponse aux incidents de sécurité

Récupération après des cas d’incidents de sécurité identifiés

Gestion des changements

Modifications apportées à l’infrastructure, aux données et aux logiciels

Atténuation des risques

Activités d’atténuation des risques

Gestion des risques pour les fournisseurs et les partenaires commerciaux

Critères supplémentaires de confidentialité

Avis de confidentialité

Consentement au respect de la confidentialité

Regroupement systématique d’informations personnelles

Consentement explicite en matière d’informations personnelles

Traitement des informations personnelles

Rétention des informations personnelles

Suppression des informations personnelles

Accès aux informations personnelles

Vérification des informations personnelles

Divulgation d’informations personnelles à des tiers

Divulgation autorisée d’un ensemble d’informations personnelles

Divulgation non autorisée d’un ensemble d’informations personnelles

Contrats avec des tiers

Notification de divulgation non autorisée d’informations à un tiers

Notification d’incident de confidentialité

Registre des divulgations d’informations personnelles

Qualité des informations personnelles

Gestion des plaintes relatives à la confidentialité et gestion de la conformité

Critères supplémentaires pour le traitement de l’intégrité

Définitions du traitement de données

Entrées système sur l’exhaustivité et la précision

Traitement du système

La sortie du système est complète, précise et ponctuelle

Stocker les données d’entrée et de sortie de manière complète, précise et ponctuelle

Étapes suivantes

Ressources supplémentaires