Lorsqu'un évaluateur ou un auditeur demande comment votre organisation est sécurisée, une grande partie de la réponse se trouve déjà dans Microsoft 365. Les contrôles existent, les journaux sont capturés, et les paramètres sont appliqués. L'écart ne vient que rarement de la technologie. Il s'agit de pouvoir désigner le paramètre exact qui satisfait un contrôle, et d'en produire la preuve sans une semaine de travail manuel.
Ce guide met en correspondance les paramètres courants de Microsoft 365, Microsoft Entra et Microsoft Intune avec les contrôles Cyber Essentials et avec une poignée de contrôles de l'Annexe A d'ISO 27001:2022. Le libellé des contrôles suit les exigences NCSC Cyber Essentials et la norme ISO/IEC 27001:2022. Considérez cette correspondance comme un guide pour cadrer vos preuves, et non comme un substitut aux exigences de votre organisme de certification, car l'application d'un contrôle dépend toujours de votre propre périmètre et de votre configuration.
Pourquoi les auditeurs demandent des preuves Microsoft 365
Cyber Essentials et ISO 27001 reposent tous deux sur la preuve. Un contrôle sur le papier ne vaut pas grand-chose si vous ne pouvez pas démontrer qu'il est appliqué et qu'il fonctionne. Pour la plupart des organisations utilisant Microsoft 365, la plateforme est l'endroit où l'identité, les appareils, la messagerie et les mises à jour sont gouvernés, ce qui en fait la source de preuves la plus riche de l'évaluation. La question pratique est de savoir comment faire ressortir ces preuves proprement, à la demande, et sous une forme acceptée par l'évaluateur.
Cyber Essentials : les cinq contrôles dans Microsoft 365
Cyber Essentials définit cinq contrôles techniques. Chacun correspond à une configuration concrète de Microsoft 365, Entra ou Intune, et chacun produit des preuves que vous pouvez exporter.
| Contrôle Cyber Essentials | Où il se trouve dans Microsoft 365 | Preuves exportables |
|---|---|---|
| Pare-feu | Microsoft Defender Firewall géré via les stratégies de pare-feu de sécurité des endpoints Intune sur les appareils inscrits ; la limite de service relève de Microsoft pour la plateforme cloud | Configuration des stratégies de pare-feu et état du pare-feu des appareils depuis le centre d'administration Intune |
| Configuration sécurisée | Profils de configuration Intune et bases de référence de sécurité Windows, Microsoft Secure Score, et blocage de l'authentification héritée dans Entra | Rapports d'attribution et de conformité des bases de référence, historique Secure Score, rapport de connexion en authentification héritée |
| Contrôle d'accès des utilisateurs | Comptes Microsoft Entra, Conditional Access, authentification multifacteur, rôles à moindre privilège, et processus d'arrivée, de mobilité et de départ des collaborateurs | Export des stratégies Conditional Access, journaux de connexion, listes d'attribution de rôles, registres de revue de comptes |
| Protection contre les logiciels malveillants | Microsoft Defender Antivirus et Defender for Endpoint gérés via Intune, ainsi que Safe Attachments et Safe Links de Defender for Office 365 | Configuration des stratégies antivirus et Defender, état de protection des appareils, et paramètres des stratégies de menace par e-mail |
| Gestion des mises à jour de sécurité | Anneaux de mise à jour Windows Autopatch ou Windows Update for Business, stratégies de mise à jour qualité Intune, et canal de mise à jour des applications Microsoft 365 | Configuration des anneaux de mise à jour et rapports de conformité Windows Update ou Autopatch indiquant le niveau des correctifs |
Deux points méritent d'être soulignés. Premièrement, Cyber Essentials s'intéresse au pare-feu des endpoints et à la configuration sécurisée des appareils que vous gérez, pas seulement au service cloud, donc le volet Intune de la correspondance porte l'essentiel du poids. Deuxièmement, la gestion des mises à jour de sécurité était auparavant appelée gestion des correctifs : l'intention reste la même, et Windows Autopatch est le moyen le plus clair d'en apporter la preuve.
ISO 27001:2022 Annexe A : contrôles sélectionnés et sources de preuves
ISO 27001 est plus large que Cyber Essentials et couvre la gouvernance, les personnes et les processus en plus de la technologie. Les contrôles ci-dessous sont un sous-ensemble des contrôles technologiques et organisationnels de l'Annexe A pour lesquels Microsoft 365 est une source de preuves principale. Ils constituent un point de départ pour votre Statement of Applicability, pas l'ensemble complet.
| Contrôle Annexe A | Ce qu'il exige | Source de preuves Microsoft 365 |
|---|---|---|
| A.5.15 Contrôle d'accès | Règles pour contrôler l'accès physique et logique en fonction des exigences métier et de sécurité | Stratégies Conditional Access, attributions de rôles Entra, et registres de packages d'accès ou de revues d'accès |
| A.8.2 Droits d'accès privilégiés | Attribution et utilisation des accès privilégiés restreintes et gérées | Rôles éligibles Microsoft Entra Privileged Identity Management, approbations d'activation, et historique d'audit téléchargeable |
| A.8.7 Protection contre les logiciels malveillants | Protection contre les logiciels malveillants soutenue par la sensibilisation des utilisateurs | Configuration des stratégies Defender for Endpoint et Defender for Office 365, et rapports d'incidents et de détection |
| A.8.8 Gestion des vulnérabilités techniques | Informations sur les vulnérabilités techniques obtenues, exposition évaluée et traitée | Rapports d'exposition Microsoft Defender Vulnerability Management, ainsi que la conformité des correctifs via Autopatch ou les anneaux de mise à jour |
| A.8.13 Sauvegarde des informations | Copies de sauvegarde maintenues et testées conformément à une politique convenue | Configuration des stratégies de rétention Microsoft Purview, ainsi que vos propres registres de sauvegarde de configuration et de données |
A.8.13 mérite une attention particulière. Microsoft 365 fournit une redondance de service et des contrôles de rétention tels que les stratégies de rétention Purview, mais ce n'est pas un produit de sauvegarde, et le modèle de responsabilité partagée laisse la protection de vos données et de votre configuration sous votre responsabilité. Pour un contrôle de sauvegarde ISO 27001, documentez votre configuration de rétention et votre démarche distincte de sauvegarde des données et de la configuration du tenant, plutôt que de laisser entendre que la plateforme se sauvegarde elle-même.
Comment collecter des preuves sans marathon de captures d'écran
Les captures d'écran sont lentes, elles se périment rapidement, et un évaluateur ne peut pas les vérifier. Chacune des sources des tableaux ci-dessus peut être exportée à la place.
- La recherche de journaux Microsoft Purview Audit exporte l'activité de l'ensemble du tenant au format CSV, afin de montrer ce qui s'est passé et quand, sur Exchange, SharePoint et les actions d'administration.
- Les journaux de connexion et d'audit Microsoft Entra se téléchargent directement au format CSV ou JSON, apportant la preuve du contrôle d'accès, de la MFA et des modifications d'annuaire.
- Les exports de rapports et les vues de conformité des appareils Microsoft Intune apportent la preuve de la configuration sécurisée, du pare-feu, de l'antivirus et de l'état des mises à jour sur les appareils managés.
- Microsoft Entra Privileged Identity Management fournit un historique d'audit téléchargeable pour l'activation et les approbations des accès privilégiés.
- Les exports Microsoft Secure Score suivent l'amélioration de la configuration sécurisée dans le temps.
- Microsoft Purview Compliance Manager regroupe les actions d'amélioration et permet d'associer des fichiers de preuve aux contrôles, offrant un endroit unique pour constituer un dossier de preuves.
Pour les preuves des appareils gérés, un outil de reporting Intune peut transformer les signaux de conformité, d'applications, d'updates et de configuration en packs d'audit reproductibles.
Pour tout ce que vous répétez, privilégiez un export planifié ou une requête Microsoft Graph ou PowerShell plutôt qu'un parcours manuel. Des exports reproductibles maintiennent les preuves à jour entre les cycles d'audit et suppriment la précipitation annuelle.
La place d'EtherAssist et d'EtherInsights
Savoir quel paramètre correspond à quel contrôle ne fait que la moitié du travail. L'autre moitié consiste à organiser le flux de travail, à rédiger les politiques et procédures qui se situent au-dessus des paramètres, et à assembler des preuves acceptées par un évaluateur.
EtherAssist prend en charge ce flux de travail de conformité. Il aide les équipes à faire correspondre les contrôles aux preuves Microsoft 365, à rédiger et maintenir les politiques et procédures, à structurer les évaluations, et à préparer un dossier de preuves pour des référentiels tels qu'ISO 27001, ISO 9001, ISO 42001 et Cyber Essentials. Il s'agit d'une préparation contrôlée de la conformité et des preuves avec un humain dans la boucle ; il organise et accélère le travail, et ne remplace ni votre organisme de certification ni ne garantit un résultat de certification.
EtherInsights couvre le volet posture. Il vous donne une vue de la configuration de sécurité Microsoft 365, une base de référence pour le tenant, et une détection de dérive, afin qu'un contrôle documenté lors de l'audit ne change pas discrètement par la suite. La sauvegarde, la dérive et la restauration de la configuration maintiennent le parc stable entre les évaluations, ce qui est précisément ce qui garde les preuves fiables dans la durée.
Faire correspondre les paramètres aux contrôles est le moyen le plus rapide de transformer un tenant Microsoft 365 que vous exploitez déjà en preuves prêtes pour l'audit. Commencez par les cinq contrôles Cyber Essentials, étendez-vous aux contrôles de l'Annexe A pertinents pour votre périmètre, et remplacez les captures d'écran par des exports reproductibles.
Découvrez la conformité ISO et la préparation aux audits pour voir comment un flux de travail de conformité contrôlé et une préparation des preuves se combinent.
