Plan d’action NIST 800-53 de Microsoft 365 : principales priorités pour vos premiers 30 jours, 90 jours et au-delà

Microsoft 365 vous permet de diriger votre entreprise grâce à une infrastructure de contrôle cloud qui aligne les contrôles avec plusieurs normes de réglementation. Microsoft 365 inclut Office 365, Windows 10 et Enterprise Mobility + Security. Le système de contrôle interne de Microsoft est basé sur la publication spéciale 800-53 du NIST (National Institute of Standards and Technology) et Office 365 a été accrédité comme dernière norme NIST 800-53.

Microsoft est reconnu comme un leader du secteur dans la sécurité du cloud. Grâce à des années d’expérience dans la création de logiciels d’entreprise et l’exécution de services en ligne, notre équipe accroît sans cesse ses connaissances et met en permanence nos services et nos applications à jour pour fournir un service de productivité cloud sécurisé qui répond aux normes rigoureuses du secteur en matière de conformité. Les services cloud pour le secteur public de Microsoft, notamment Office 365 pour le gouvernement américain, satisfont les exigences strictes du programme américain Federal Risk and Authorization Management Program (FedRAMP) permettant aux agences fédérales des États-Unis de bénéficier d’une réduction des coûts et de la sécurité rigoureuse de Microsoft Cloud.

Cet article comprend un plan d’action prioritaire que vous pouvez suivre au fur et à mesure que vous travaillez afin de répondre aux exigences du NIST 800-53. Ce plan d’action a été développé en partenariat avec Protiviti, partenaire Microsoft spécialisé dans la conformité réglementaire.

Résultats du plan d’action

Ces suggestions sont fournies en trois phases suivant un ordre logique avec les résultats suivants :

Étape Résultats
30 jours • Comprendre les exigences de la norme NIST 800-53 et demander conseil à un partenaire Microsoft.
• Découvrir et comprendre la stratégie de protection avancée intégrée dans Microsoft 365.
• Protéger l’accès utilisateur et administrateur dans Office 365.
• Vérifier que tous les accès au système sont vérifiables conformément aux stratégies d’audit et de responsabilité de votre organisation.
90 jours • Améliorer votre programme de gestion des logiciels anti-programme malveillant, des mises à jour correctives et de la configuration.
• Utiliser les fonctionnalités du portail Sécurité Microsoft 365 pour contrôler l’accès à l’environnement et protéger les informations et les biens d’entreprise.
• Exploiter les fonctionnalités d’audit intégrées pour surveiller les activités sensibles ou à risque dans Office 365.
* Déployez Microsoft Defender pour Office 365 pour les liens et les pièces jointes dans les e-mails et les documents Office.
Au-delà de 90 jours • Utiliser la protection des informations et les outils avancés de Microsoft 365 pour implémenter les contrôles continus pour les appareils et la protection pour les données d’entreprise.
• Surveiller la conformité en cours au sein de Microsoft 365 et des autres applications cloud.
• Exploiter les fonctionnalités améliorées de détection et de protection contre les menaces avec Advanced Threat Analytics afin d’offrir une stratégie de sécurité robuste et en couches à l’organisation. Développer un plan de réponse aux incidents pour atténuer les effets des systèmes compromis dans votre organisation.

30 jours - Étapes efficaces rapides

Ces tâches peuvent être accomplies rapidement et ont un faible impact sur les utilisateurs.

Catégorie Tâches
Comprendre les exigences en matière de la norme NIST 800-53 et demander conseil à un partenaire Microsoft. • Travaillez avec votre partenaire Microsoft pour effectuer une analyse d’écart en matière de conformité NIST 800-53 pour votre organisation et développez une feuille de route qui détermine votre parcours vers la conformité.
• Utilisez les instructions dans Gestionnaire de Conformité Microsoft pour définir et documenter des stratégies et des procédures dédiées au contrôle d’accès et au partage d’informations concernant l’objectif, l’étendue, les rôles, les responsabilités, la coordination entre les entités de l’organisation et la conformité.
Découvrir et comprendre la stratégie de protection avancée intégrée dans Microsoft 365. • Évaluez et gérez vos risques de conformité à l’aide du Gestionnaire de Conformité pour effectuer une évaluation NIST 800-53 dans votre organisation. Ajustez les contrôles de Sécurité Microsoft 365 afin de gérer et d’atténuer les risques en fonction des résultats de l’évaluation.
• Utilisez le service Niveau de sécurité Microsoft pour effectuer le suivi de l’utilisation des fonctionnalités du portail Sécurité Microsoft 365 de l’organisation au fil du temps dans les bureaux Office 365 et Windows 10.
• Découvrez les technologies et les stratégies de Microsoft utilisées pour assurer le chiffrement des données Office 365, ainsi que les stratégies pour assurer la protection contre les attaques par déni de service dans Microsoft Cloud.
Protéger l’accès utilisateur et administrateur dans Office 365. • Établissez une gestion des informations d’identification forte pour protéger les informations d’identification de compte utilisateur.
• Renseignez-vous davantage sur les stratégies recommandées pour les identités et l’accès aux appareils pour les services Office 365.
• Utilisez les Rôles d’administration Microsoft 365 pour implémenter l’accès en fonction du rôle aux fonctionnalités d’administration et pour permettre la séparation des tâches d’administration. Remarque : de nombreux rôles d’administrateur dans Microsoft 365 ont un rôle correspondant dans Exchange Online, SharePoint Online et Skype Entreprise Online. Segmentez les autorisations pour vous assurer qu’un seul administrateur ne dispose pas d’un accès supérieur à celui nécessaire.
Vérifiez que tous les accès au système sont vérifiables conformément aux stratégies d’audit et de responsabilité de votre organisation. Activez la journalisation d’audit et l’audit de boîte aux lettres pour toutes les boîtes aux lettres Exchange afin de détecter les activités potentiellement malveillantes dans Office 365 et d’activer l’analyse d’investigation des violations de données.

90 jours - Protections améliorées

La planification et l’implémentation de ces tâches prennent un peu plus de temps.

Catégorie Tâches
Améliorer votre programme de gestion des logiciels anti-programme malveillant, des mises à jour correctives et de la configuration. • Protégez les biens d’entreprise et les bureaux en déployant et en activant Antivirus Windows Defender dans votre organisation, et en exploitant son degré d’intégration à Windows 10.
• Effectuez le suivi des systèmes infectés mis en quarantaine et empêchez tout dommage supplémentaire jusqu’à ce que des mesures correctives soient prises.
• Fiez-vous sans réserve au processus rigoureux de gestion des modifications standard Microsoft 365 pour les mises à jour et les correctifs approuvés.
Utiliser les fonctionnalités du portail Sécurité Microsoft 365 pour contrôler l’accès à l’environnement et protéger les informations et les biens d’entreprise. • Mettez en œuvre les stratégies recommandées pour les identités et l’accès aux appareils pour protéger les comptes d’utilisateur et d’administrateur.
• Implémentez les fonctionnalités de chiffrement de messages Office 365 pour aider les utilisateurs à se conformer aux stratégies de votre organisation lorsqu’ils envoient des données sensibles par e-mail.
• Déployez Microsoft Defender pour point de terminaison sur tous les ordinateurs en tant que protection contre le code malveillant, ainsi qu’en tant que prévention et réponse aux violations de données.
• Configurez, testez et déployez des stratégies pour identifier, surveiller et protéger automatiquement plus de 80 types courants de données sensibles dans les documents et les e-mails, y compris les informations financières, médicales et personnelles.
• Informez automatiquement les expéditeurs de courrier électronique qu’ils sont susceptibles de violer l’une de vos stratégies avant même qu’ils envoient un message posant problème en configurant des conseils de stratégie. Les conseils de stratégie peuvent être configurés pour présenter un court message (dans Outlook, Outlook sur le web et OWA pour les appareils), qui fournit des informations sur les potentielles violations de stratégie lors de la rédaction du message.
• Protégez les données critiques et respectez les stratégies de partage d’informations de votre organisation en mettant en place des contrôles pour le partage externe dans SharePoint Online et OneDrive Entreprise. Vérifiez que seuls les utilisateurs externes authentifiés peuvent accéder aux données d’entreprise.
Exploiter les fonctionnalités d’audit intégrées pour surveiller les activités sensibles ou à risque dans Office 365. • Activez les Stratégies d’alerte dans le centre de sécurité et conformité Microsoft 365 pour recevoir des notifications automatiques lorsque des activités sensibles surviennent, par exemple, lorsque les privilèges de compte d’un utilisateur sont élevés ou lorsque vous accédez à des données sensibles. Toutes les fonctions privilégiées doivent être auditées et surveillées.
• Effectuez régulièrement une recherche dans les journaux d’audit dans le Centre de sécurité et conformité pour passer en revue les modifications qui ont été apportées aux paramètres de configuration du client.
• Pour le stockage sur le long terme de données de journal d’audit, utilisez la référence de l’API Activité de gestion Office 365 pour intégrer un outil de gestion des événements et des informations de sécurité (SIEM).
Déployez Microsoft Defender pour Office 365 pour les liens et les pièces jointes dans les e-mails et les documents Office. Implémentez Microsoft Defender pour Office 365 afin d’éviter les vecteurs d’attaque les plus courants, y compris les e-mails de hameçonnage et les documents Office contenant des pièces jointes et des liens malveillants.

Au-delà de 90 jours : Sécurité en continu, gouvernance de données et création de rapports

Ces actions prennent plus de temps et s’appuient sur des travaux antérieurs.

Catégorie Tâches
Utiliser la protection des informations et les outils avancés de Microsoft 365 pour implémenter les contrôles continus pour les appareils et la protection pour les données d’entreprise. Utilisez Microsoft Intune pour protéger les données sensibles stockées et consultables sur des appareils mobiles et assurez-vous que des appareils d’entreprise conformes sont utilisés pour accéder aux services cloud.
Surveillez la conformité en cours au sein de Microsoft 365 et des autres applications cloud. • Pour évaluer les performances par rapport aux procédures et aux stratégies définies de l’organisation, utilisez Gestion de Conformité de façon continue pour réaliser régulièrement des évaluations de l’application des stratégies de sécurité des informations de l’organisation.
• Utilisez Azure AD Privileged Identity Management pour contrôler et passer en revue régulièrement l’ensemble des groupes et utilisateurs avec des niveaux d’autorisation élevés (par exemple, les administrateurs ou les utilisateurs privilégiés).
* Déployez et configurez Gestion des accès privilégiés pour fournir un contrôle d’accès précis au niveau des tâches d’administration privilégiées dans Office 365. Une fois cette fonctionnalité activée, les utilisateurs doivent demander un accès juste-à-temps pour effectuer des tâches privilégiées et avancées par le biais d’un flux de travail d’approbation hautement étendu et limité dans le temps.
• Auditez l’accès aux boîtes aux lettres par des utilisateurs non propriétaires afin d’identifier les fuites potentielles d’informations et pour passer en revue de façon proactive l’accès par des utilisateurs non propriétaires à toutes les boîtes aux lettres Exchange Online.
• Utilisez les stratégies d’alerte Office 365, les rapports sur la protection contre la perte de données et Microsoft Cloud App Security pour surveiller l’utilisation des applications cloud de votre organisation et implémenter des stratégies d’alerte avancées reposant sur les heuristiques et l’activité utilisateur.
• Utilisez Microsoft Cloud App Security pour suivre automatiquement les activités à risque afin d’identifier les administrateurs potentiellement malveillants, de détecter les violations de données ou de veiller à ce que les exigences de conformité soient remplies.
Exploiter les fonctionnalités améliorées de détection et de protection contre les menaces avec Advanced Threat Analytics afin d’offrir une stratégie de sécurité robuste et multiniveaux à l’organisation. Développer un plan de réponse aux incidents pour atténuer les effets des systèmes compromis dans votre organisation. • Déployez et configurez Windows Advanced Threat Analytics afin d’exploiter la richesse des analyses et des rapports pour obtenir des informations utilisateur critiques faisant l’objet d’une cible dans votre organisation et les méthodologies de cyber-attaques en cours utilisées.
* Tirez parti des Rapports Defender pour Office 365 pour analyser les menaces par le biais d’insights sur le contenu malveillant et les e-mails malveillants détectés automatiquement au sein de votre organisation. Utilisez des rapports intégrés et des fonctionnalités de suivi des messages pour examiner les messages électroniques qui ont été bloqués en raison d’un virus ou d’un programme malveillant inconnu.
* Utilisez les fonctionnalités Office 365 d’enquête et de réponse aux menaces pour rassembler des observations et des informations provenant de diverses sources pour obtenir une vue globale de votre paysage de sécurité cloud.
* Intégrez Microsoft Defender pour Office 365 et Microsoft Defender pour point de terminaison pour comprendre rapidement si les appareils des utilisateurs présentent des risques lors d’enquêtes sur les menaces dans Office 365.
• Simulez les méthodes d’attaque courantes au sein de votre environnement Office 365 à l’aide du service Simulateur d’attaques dans Office 365. Examinez les résultats des simulations d’attaque pour identifier les opportunités de formation pour les utilisateurs et valider les procédures de réponse aux incidents de votre organisation.
• Configurez les autorisations dans le Centre de sécurité et conformité pour vous assurer que l’accès aux données de surveillance et d’audit est limité aux utilisateurs approuvés et s’intègre aux mesures de réponse aux incidents de l’organisation.

En savoir plus

En savoir plus sur Microsoft et l’infrastructure de cybersécurité NIST (CSF), notamment la norme NIST 800-53.