Lorsqu'un évaluateur ou un auditeur demande comment votre organisation est sécurisée, une grande partie de la réponse se trouve déjà dans Microsoft 365. Les contrôles existent, les journaux sont capturés, et les paramètres sont appliqués. L'écart ne vient que rarement de la technologie. Il s'agit de pouvoir désigner le paramètre exact qui satisfait un contrôle, et d'en produire la preuve sans une semaine de travail manuel.

Ce guide met en correspondance les paramètres courants de Microsoft 365, Microsoft Entra et Microsoft Intune avec les contrôles Cyber Essentials et avec une poignée de contrôles de l'Annexe A d'ISO 27001:2022. Le libellé des contrôles suit les exigences NCSC Cyber Essentials et la norme ISO/IEC 27001:2022. Considérez cette correspondance comme un guide pour cadrer vos preuves, et non comme un substitut aux exigences de votre organisme de certification, car l'application d'un contrôle dépend toujours de votre propre périmètre et de votre configuration.

Pourquoi les auditeurs demandent des preuves Microsoft 365

Cyber Essentials et ISO 27001 reposent tous deux sur la preuve. Un contrôle sur le papier ne vaut pas grand-chose si vous ne pouvez pas démontrer qu'il est appliqué et qu'il fonctionne. Pour la plupart des organisations utilisant Microsoft 365, la plateforme est l'endroit où l'identité, les appareils, la messagerie et les mises à jour sont gouvernés, ce qui en fait la source de preuves la plus riche de l'évaluation. La question pratique est de savoir comment faire ressortir ces preuves proprement, à la demande, et sous une forme acceptée par l'évaluateur.

Cyber Essentials : les cinq contrôles dans Microsoft 365

Cyber Essentials définit cinq contrôles techniques. Chacun correspond à une configuration concrète de Microsoft 365, Entra ou Intune, et chacun produit des preuves que vous pouvez exporter.

Contrôle Cyber EssentialsOù il se trouve dans Microsoft 365Preuves exportables
Pare-feuMicrosoft Defender Firewall géré via les stratégies de pare-feu de sécurité des endpoints Intune sur les appareils inscrits ; la limite de service relève de Microsoft pour la plateforme cloudConfiguration des stratégies de pare-feu et état du pare-feu des appareils depuis le centre d'administration Intune
Configuration sécuriséeProfils de configuration Intune et bases de référence de sécurité Windows, Microsoft Secure Score, et blocage de l'authentification héritée dans EntraRapports d'attribution et de conformité des bases de référence, historique Secure Score, rapport de connexion en authentification héritée
Contrôle d'accès des utilisateursComptes Microsoft Entra, Conditional Access, authentification multifacteur, rôles à moindre privilège, et processus d'arrivée, de mobilité et de départ des collaborateursExport des stratégies Conditional Access, journaux de connexion, listes d'attribution de rôles, registres de revue de comptes
Protection contre les logiciels malveillantsMicrosoft Defender Antivirus et Defender for Endpoint gérés via Intune, ainsi que Safe Attachments et Safe Links de Defender for Office 365Configuration des stratégies antivirus et Defender, état de protection des appareils, et paramètres des stratégies de menace par e-mail
Gestion des mises à jour de sécuritéAnneaux de mise à jour Windows Autopatch ou Windows Update for Business, stratégies de mise à jour qualité Intune, et canal de mise à jour des applications Microsoft 365Configuration des anneaux de mise à jour et rapports de conformité Windows Update ou Autopatch indiquant le niveau des correctifs

Deux points méritent d'être soulignés. Premièrement, Cyber Essentials s'intéresse au pare-feu des endpoints et à la configuration sécurisée des appareils que vous gérez, pas seulement au service cloud, donc le volet Intune de la correspondance porte l'essentiel du poids. Deuxièmement, la gestion des mises à jour de sécurité était auparavant appelée gestion des correctifs : l'intention reste la même, et Windows Autopatch est le moyen le plus clair d'en apporter la preuve.

ISO 27001:2022 Annexe A : contrôles sélectionnés et sources de preuves

ISO 27001 est plus large que Cyber Essentials et couvre la gouvernance, les personnes et les processus en plus de la technologie. Les contrôles ci-dessous sont un sous-ensemble des contrôles technologiques et organisationnels de l'Annexe A pour lesquels Microsoft 365 est une source de preuves principale. Ils constituent un point de départ pour votre Statement of Applicability, pas l'ensemble complet.

Contrôle Annexe ACe qu'il exigeSource de preuves Microsoft 365
A.5.15 Contrôle d'accèsRègles pour contrôler l'accès physique et logique en fonction des exigences métier et de sécuritéStratégies Conditional Access, attributions de rôles Entra, et registres de packages d'accès ou de revues d'accès
A.8.2 Droits d'accès privilégiésAttribution et utilisation des accès privilégiés restreintes et géréesRôles éligibles Microsoft Entra Privileged Identity Management, approbations d'activation, et historique d'audit téléchargeable
A.8.7 Protection contre les logiciels malveillantsProtection contre les logiciels malveillants soutenue par la sensibilisation des utilisateursConfiguration des stratégies Defender for Endpoint et Defender for Office 365, et rapports d'incidents et de détection
A.8.8 Gestion des vulnérabilités techniquesInformations sur les vulnérabilités techniques obtenues, exposition évaluée et traitéeRapports d'exposition Microsoft Defender Vulnerability Management, ainsi que la conformité des correctifs via Autopatch ou les anneaux de mise à jour
A.8.13 Sauvegarde des informationsCopies de sauvegarde maintenues et testées conformément à une politique convenueConfiguration des stratégies de rétention Microsoft Purview, ainsi que vos propres registres de sauvegarde de configuration et de données

A.8.13 mérite une attention particulière. Microsoft 365 fournit une redondance de service et des contrôles de rétention tels que les stratégies de rétention Purview, mais ce n'est pas un produit de sauvegarde, et le modèle de responsabilité partagée laisse la protection de vos données et de votre configuration sous votre responsabilité. Pour un contrôle de sauvegarde ISO 27001, documentez votre configuration de rétention et votre démarche distincte de sauvegarde des données et de la configuration du tenant, plutôt que de laisser entendre que la plateforme se sauvegarde elle-même.

Comment collecter des preuves sans marathon de captures d'écran

Les captures d'écran sont lentes, elles se périment rapidement, et un évaluateur ne peut pas les vérifier. Chacune des sources des tableaux ci-dessus peut être exportée à la place.

  • La recherche de journaux Microsoft Purview Audit exporte l'activité de l'ensemble du tenant au format CSV, afin de montrer ce qui s'est passé et quand, sur Exchange, SharePoint et les actions d'administration.
  • Les journaux de connexion et d'audit Microsoft Entra se téléchargent directement au format CSV ou JSON, apportant la preuve du contrôle d'accès, de la MFA et des modifications d'annuaire.
  • Les exports de rapports et les vues de conformité des appareils Microsoft Intune apportent la preuve de la configuration sécurisée, du pare-feu, de l'antivirus et de l'état des mises à jour sur les appareils managés.
  • Microsoft Entra Privileged Identity Management fournit un historique d'audit téléchargeable pour l'activation et les approbations des accès privilégiés.
  • Les exports Microsoft Secure Score suivent l'amélioration de la configuration sécurisée dans le temps.
  • Microsoft Purview Compliance Manager regroupe les actions d'amélioration et permet d'associer des fichiers de preuve aux contrôles, offrant un endroit unique pour constituer un dossier de preuves.

Pour les preuves des appareils gérés, un outil de reporting Intune peut transformer les signaux de conformité, d'applications, d'updates et de configuration en packs d'audit reproductibles.

Pour tout ce que vous répétez, privilégiez un export planifié ou une requête Microsoft Graph ou PowerShell plutôt qu'un parcours manuel. Des exports reproductibles maintiennent les preuves à jour entre les cycles d'audit et suppriment la précipitation annuelle.

La place d'EtherAssist et d'EtherInsights

Savoir quel paramètre correspond à quel contrôle ne fait que la moitié du travail. L'autre moitié consiste à organiser le flux de travail, à rédiger les politiques et procédures qui se situent au-dessus des paramètres, et à assembler des preuves acceptées par un évaluateur.

EtherAssist prend en charge ce flux de travail de conformité. Il aide les équipes à faire correspondre les contrôles aux preuves Microsoft 365, à rédiger et maintenir les politiques et procédures, à structurer les évaluations, et à préparer un dossier de preuves pour des référentiels tels qu'ISO 27001, ISO 9001, ISO 42001 et Cyber Essentials. Il s'agit d'une préparation contrôlée de la conformité et des preuves avec un humain dans la boucle ; il organise et accélère le travail, et ne remplace ni votre organisme de certification ni ne garantit un résultat de certification.

EtherInsights couvre le volet posture. Il vous donne une vue de la configuration de sécurité Microsoft 365, une base de référence pour le tenant, et une détection de dérive, afin qu'un contrôle documenté lors de l'audit ne change pas discrètement par la suite. La sauvegarde, la dérive et la restauration de la configuration maintiennent le parc stable entre les évaluations, ce qui est précisément ce qui garde les preuves fiables dans la durée.

Faire correspondre les paramètres aux contrôles est le moyen le plus rapide de transformer un tenant Microsoft 365 que vous exploitez déjà en preuves prêtes pour l'audit. Commencez par les cinq contrôles Cyber Essentials, étendez-vous aux contrôles de l'Annexe A pertinents pour votre périmètre, et remplacez les captures d'écran par des exports reproductibles.

Découvrez la conformité ISO et la préparation aux audits pour voir comment un flux de travail de conformité contrôlé et une préparation des preuves se combinent.