Points de contrôle
Introduction
Ce document a pour objectif de détailler, application par application, l'ensemble des points de contrôle dans l'analyse de sécurité dans l'environnement Cloud Microsoft 365.
En plus des tableaux explicatifs, vous y trouverez également un lexique regroupant les principaux termes techniques, afin de faciliter la compréhension des notions abordées.
Tableaux des points de contrôle de sécurité par applications Microsoft 365
Les tableaux suivants présentent, pour chaque application de Microsoft 365, une liste des points de contrôle essentiels à leur sécurité. Chaque tableau inclut :
- L'Id du point de contrôle.
- Une description de chaque point de contrôle, mettant en évidence son rôle dans la protection des données et des communications.
Entra ID
Gestion des identités et des accès, essentielle pour sécuriser l’authentification et l’autorisation des utilisateurs dans l’écosystème Microsoft 365.
Points de contrôle de sécurité pour Entra ID
| Id | Application | Description |
|---|---|---|
| MS.AAD.1.1v1 | Entra ID | L’Authentification héritée DOIT être bloquée. |
| MS.AAD.2.1v1 | Entra ID | Les utilisateurs détectés comme présentant un risque élevé DOIVENT être bloqués. |
| MS.AAD.2.2v1 | Entra ID | Une notification DEVRAIT être envoyée à l’administrateur lorsque des utilisateurs à haut risque sont détectés. |
| MS.AAD.2.3v1 | Entra ID | Les connexions détectées comme présentant un risque élevé DOIVENT être bloquées. |
| MS.AAD.3.1v1 | Entra ID | L’authentification multifacteur résistante au phishing DOIT être appliquée à tous les utilisateurs. |
| MS.AAD.3.2v1 | Entra ID | Si l’authentification multifacteur résistante à l’hameçonnage n’a pas été appliquée, une autre méthode MFA DOIT être utilisée. |
| MS.AAD.3.3v1 | Entra ID | Si MFA résistante au phishing n’est pas appliquée et Microsoft Authenticator est activé, il DOIT afficher le contexte de connexion. |
| MS.AAD.3.4v1 | Entra ID | La fonction "Gérer la migration des méthodes d’authentification" DOIT être définie sur "Migration terminée". |
| MS.AAD.3.5v1 | Entra ID | Les méthodes d’authentification par SMS, appel vocal et e-mail OTP DOIVENT être désactivées. |
| MS.AAD.3.6v1 | Entra ID | Une MFA résistante au phishing DOIT être requise pour les rôles hautement privilégiés. |
| MS.AAD.3.7v1 | Entra ID | Les périphériques gérés DEVRAIENT être requis pour l’authentification. |
| MS.AAD.3.8v1 | Entra ID | Les périphériques gérés DEVRAIENT être nécessaires pour enregistrer la MFA. |
| MS.AAD.4.1v1 | Entra ID | Les journaux de sécurité DOIVENT être envoyés au centre des opérations de sécurité pour surveillance. |
| MS.AAD.5.1v1 | Entra ID | Seuls les administrateurs SERONT autorisés à enregistrer des demandes. |
| MS.AAD.5.2v1 | Entra ID | Seuls les administrateurs SERONT autorisés à consentir aux demandes. |
| MS.AAD.5.3v1 | Entra ID | Un flux de travail de consentement de l’administrateur DOIT être configuré pour les applications. |
| MS.AAD.5.4v1 | Entra ID | Les propriétaires de groupe NE SONT PAS autorisés à consentir aux demandes. |
| MS.AAD.6.1v1 | Entra ID | Les mots de passe des utilisateurs NE DOIVENT PAS expirer. |
| MS.AAD.7.1v1 | Entra ID | Un minimum de deux utilisateurs et un maximum de huit utilisateurs DOIVENT être provisionnés comme administrateurs généraux. |
| MS.AAD.7.2v1 | Entra ID | Les utilisateurs privilégiés DOIVENT recevoir des rôles précis plutôt que "Administrateur général". |
| MS.AAD.7.3v1 | Entra ID | Les utilisateurs privilégiés DOIVENT être des comptes cloud indépendants des annuaires locaux ou identités fédérées. |
| MS.AAD.7.4v1 | Entra ID | L’attribution permanente de rôles actifs NE SERA PAS autorisée pour les rôles hautement privilégiés. |
| MS.AAD.7.5v1 | Entra ID | Le provisionnement à des rôles hautement privilégiés NE DOIT PAS se produire sans un système PAM. |
| MS.AAD.7.6v1 | Entra ID | L’activation du rôle "Administrateur général" DOIT nécessiter une approbation. |
| MS.AAD.7.7v1 | Entra ID | Les attributions de rôles éligibles ou actifs à privilèges élevés DOIVENT déclencher une alerte. |
| MS.AAD.7.8v1 | Entra ID | L’activation du rôle d’administrateur général par un utilisateur DOIT déclencher une alerte. |
| MS.AAD.7.9v1 | Entra ID | L’activation d’autres rôles hautement privilégiés DEVRAIT déclencher une alerte. |
| MS.AAD.8.1v1 | Entra ID | Les utilisateurs invités DOIVENT avoir un accès restreint aux objets d’annuaire Azure AD. |
| MS.AAD.8.2v1 | Entra ID | Seuls les utilisateurs ayant un rôle invité DEVRAIENT pouvoir inviter des utilisateurs invités. |
| MS.AAD.8.3v1 | Entra ID | Les invitations d’invités NE DEVRAIENT ÊTRE AUTORISÉES QU’AUX domaines externes autorisés par l’agence. |
Microsoft Defender pour Office 365
Solution de protection avancée pour les emails et les documents contre les attaques telles que le phishing, les malwares et les ransomwares.
Points de contrôle de sécurité pour Microsoft Defender
| Id | Application | Description |
|---|---|---|
| MS.DEFENDER.1.1v1 | Microsoft Defender | Les politiques de sécurité standard et strictes prédéfinies DOIVENT être activées. |
| MS.DEFENDER.1.2v1 | Microsoft Defender | Tous les utilisateurs DOIVENT être ajoutés à Exchange Online Protection dans le cadre de la stratégie de sécurité prédéfinie. |
| MS.DEFENDER.1.3v1 | Microsoft Defender | Tous les utilisateurs DOIVENT être ajoutés à la protection Defender pour Office 365 dans la politique de sécurité prédéfinie. |
| MS.DEFENDER.1.4v1 | Microsoft Defender | Les comptes sensibles DOIVENT être ajoutés à Exchange Online Protection dans la politique stricte prédéfinie. |
| MS.DEFENDER.1.5v1 | Microsoft Defender | Les comptes sensibles DOIVENT être ajoutés à Defender pour Office 365 dans la politique stricte prédéfinie. |
| MS.DEFENDER.2.1v1 | Microsoft Defender | La protection contre l’usurpation d’identité utilisateur DEVRAIT être activée pour les comptes sensibles dans les politiques. |
| MS.DEFENDER.2.2v1 | Microsoft Defender | La protection contre l’usurpation d’identité de domaine DEVRAIT être activée pour les domaines appartenant à l’agence. |
| MS.DEFENDER.2.3v1 | Microsoft Defender | La protection contre l’usurpation d’identité de domaine DEVRAIT être ajoutée pour les partenaires importants. |
| MS.DEFENDER.3.1v1 | Microsoft Defender | Les pièces jointes sécurisées DEVRAIENT être activées pour SharePoint, OneDrive et Microsoft Teams. |
| MS.DEFENDER.4.1v1 | Microsoft Defender | Une politique personnalisée DOIT bloquer les PII et informations sensibles, comme les numéros de carte de crédit ou de sécurité sociale. |
| MS.DEFENDER.4.2v1 | Microsoft Defender | La politique personnalisée DEVRAIT être appliquée à Exchange, OneDrive, SharePoint, Teams chat et Devices. |
| MS.DEFENDER.4.3v1 | Microsoft Defender | L’action pour la politique personnalisée DEVRAIT bloquer le partage d’informations sensibles avec tout le monde. |
| MS.DEFENDER.4.4v1 | Microsoft Defender | Les notifications pour informer les utilisateurs sur l’utilisation des informations sensibles DEVRAIENT être activées. |
| MS.DEFENDER.4.5v1 | Microsoft Defender | Une liste des applications interdites d’accéder aux fichiers protégés par la politique DLP DEVRAIT être définie. |
| MS.DEFENDER.4.6v1 | Microsoft Defender | La politique personnalisée DEVRAIT bloquer l’accès aux informations sensibles par des applications restreintes ou Bluetooth. |
| MS.DEFENDER.5.1v1 | Microsoft Defender | Les alertes requises par la configuration de sécurité CISA M365 pour Exchange Online DOIVENT être activées. |
| MS.DEFENDER.5.2v1 | Microsoft Defender | Les alertes DEVRAIENT être envoyées à une adresse surveillée ou intégrées dans un SIEM. |
| MS.DEFENDER.6.1v1 | Microsoft Defender | La journalisation Microsoft Purview Audit (Standard) DOIT être activée. |
| MS.DEFENDER.6.2v1 | Microsoft Defender | La journalisation Microsoft Purview Audit (Premium) DOIT être activée pour TOUS les utilisateurs. |
| MS.DEFENDER.6.3v1 | Microsoft Defender | Les registres de vérification DOIVENT être conservés. |
Exchange Online
Service de messagerie cloud, nécessitant des configurations spécifiques pour prévenir les spams, les attaques de phishing et les accès non autorisés.
Points de contrôle de sécurité pour Microsoft Exchange Online
| Id | Application | Description |
|---|---|---|
| MS.EXO.1.1v1 | Microsoft Exchange Online | La redirection automatique vers des domaines externes DOIT être désactivée. |
| MS.EXO.2.1v1 | Microsoft Exchange Online | Une liste d’adresses IP approuvées pour l’envoi de courrier DOIT être conservée. |
| MS.EXO.2.2v1 | Microsoft Exchange Online | Une politique SPF DOIT être publiée pour chaque domaine, désignant uniquement ces adresses comme expéditeurs approuvés. |
| MS.EXO.3.1v1 | Microsoft Exchange Online | DKIM DEVRAIT être activé pour tous les domaines. |
| MS.EXO.4.1v1 | Microsoft Exchange Online | Une politique DMARC DOIT être publiée pour chaque domaine de deuxième niveau. |
| MS.EXO.4.2v1 | Microsoft Exchange Online | L’option de rejet de message DMARC DOIT être p=rejet. |
| MS.EXO.4.3v1 | Microsoft Exchange Online | Le point de contact DMARC pour les rapports agrégés DOIT inclure une addresse mail. |
| MS.EXO.4.4v1 | Microsoft Exchange Online | Un point de contact de l’agence DEVRAIT être inclus pour les rapports globaux et les rapports d’échec. |
| MS.EXO.5.1v1 | Microsoft Exchange Online | SMTP AUTH DOIT être désactivé. |
| MS.EXO.6.1v1 | Microsoft Exchange Online | Les dossiers de contacts NE DOIVENT PAS être partagés avec tous les domaines. |
| MS.EXO.6.2v1 | Microsoft Exchange Online | Les détails du calendrier NE DOIVENT PAS être partagés avec tous les domaines. |
| MS.EXO.7.1v1 | Microsoft Exchange Online | Les avertissements d’expéditeur externe DOIVENT être mis en œuvre. |
| MS.EXO.8.1v1 | Microsoft Exchange Online | Une solution DLP DOIT être utilisée et DEVRAIT offrir des services comparables à ceux proposés par Microsoft. |
| MS.EXO.8.2v1 | Microsoft Exchange Online | La solution DLP DOIT protéger les informations PII et sensibles, limitant au minimum le partage de données critiques comme les SSN. |
| MS.EXO.9.1v1 | Microsoft Exchange Online | Les e-mails DOIVENT être filtrés par types de fichiers joints, comparables au filtre commun de Microsoft Defender. |
| MS.EXO.9.2v1 | Microsoft Exchange Online | Le filtre de pièce jointe DEVRAIT déterminer le véritable type de fichier et évaluer son extension. |
| MS.EXO.9.3v1 | Microsoft Exchange Online | Les types de fichiers non autorisés DOIVENT être définis et bloqués, comme les fichiers exécutables (.exe, .cmd, .vbe). |
| MS.EXO.10.1v1 | Microsoft Exchange Online | Les e-mails DOIVENT être analysés à la recherche de logiciels malveillants. |
| MS.EXO.10.2v1 | Microsoft Exchange Online | Les e-mails contenant des logiciels malveillants DOIVENT être mis en quarantaine ou supprimés. |
| MS.EXO.10.3v1 | Microsoft Exchange Online | L’analyse des e-mails DOIT être capable d’examiner les messages après leur livraison. |
| MS.EXO.11.1v1 | Microsoft Exchange Online | Les contrôles de protection contre l’usurpation d’identité DEVRAIENT être utilisés. |
| MS.EXO.11.2v1 | Microsoft Exchange Online | Des avertissements pour les utilisateurs DEVRAIENT être affichés, comparables aux conseils de sécurité inclus dans EOP. |
| MS.EXO.11.3v1 | Microsoft Exchange Online | La solution anti-phishing DEVRAIT inclure un outil basé sur l’IA, comparable à EOP Mailbox Intelligence. |
| MS.EXO.12.1v1 | Microsoft Exchange Online | Les listes d’adresses IP autorisées NE DEVRAIENT PAS être créées. |
| MS.EXO.12.2v1 | Microsoft Exchange Online | Les listes de sécurité NE DEVRAIENT PAS être activées. |
| MS.EXO.13.1v1 | Microsoft Exchange Online | L’audit de la boîte aux lettres DOIT être activé. |
| MS.EXO.14.1v1 | Microsoft Exchange Online | Un filtre anti-spam DOIT être activé et comparé aux standards de Microsoft pour le filtrage des spams. |
| MS.EXO.14.2v1 | Microsoft Exchange Online | Les spams et les spams à haut niveau de confiance DOIVENT être redirigés vers le dossier courrier indésirable ou quarantaine. |
| MS.EXO.14.3v1 | Microsoft Exchange Online | Les domaines autorisés NE DOIVENT PAS être ajoutés aux stratégies antispam entrantes. |
| MS.EXO.15.1v1 | Microsoft Exchange Online | La comparaison d’URL avec une liste de blocage DEVRAIT être activée. |
| MS.EXO.15.2v1 | Microsoft Exchange Online | Les liens de téléchargement direct DEVRAIENT être analysés pour détecter les logiciels malveillants. |
| MS.EXO.15.3v1 | Microsoft Exchange Online | Le suivi des clics des utilisateurs DEVRAIT être activé. |
| MS.EXO.16.1v1 | Microsoft Exchange Online | Les alertes pour les activités suspectes DOIVENT être activées (par ex., modèles d’envoi suspects, transfert anormal). |
| MS.EXO.16.2v1 | Microsoft Exchange Online | Les alertes DEVRAIENT être envoyées à une adresse surveillée ou intégrées dans un SIEM. |
| MS.EXO.17.1v1 | Microsoft Exchange Online | La journalisation Microsoft Purview Audit (Standard) DOIT être activée. |
| MS.EXO.17.2v1 | Microsoft Exchange Online | La journalisation Microsoft Purview Audit (Premium) DOIT être activée. |
| MS.EXO.17.3v1 | Microsoft Exchange Online | Les registres de vérification DOIVENT être conservés. |
SharePoint Online
Plateforme de gestion et de collaboration sur les documents, où le partage sécurisé et la gestion des permissions sont clés pour protéger les informations sensibles.
Points de contrôle de sécurité pour SharePoint
| Id | Application | Description |
|---|---|---|
| MS.SHAREPOINT.1.1v1 | SharePoint | Le partage externe pour SharePoint DOIT être limité aux invités existants ou uniquement aux personnes de votre organisation. |
| MS.SHAREPOINT.1.2v1 | SharePoint | Le partage externe pour OneDrive DOIT être limité aux invités existants ou uniquement aux personnes de votre organisation. |
| MS.SHAREPOINT.1.3v1 | SharePoint | Le partage externe DOIT être limité aux domaines externes approuvés et/ou aux utilisateurs dans des groupes de sécurité approuvés selon les besoins de collaboration inter-agences. |
| MS.SHAREPOINT.1.4v1 | SharePoint | L’accès des invités DOIT être limité à l’adresse e-mail à laquelle l’invitation a été envoyée. |
| MS.SHAREPOINT.2.1v1 | SharePoint | L’étendue du partage par défaut des fichiers et des dossiers DOIT être définie sur Personnes spécifiques (uniquement les personnes spécifiées par l’utilisateur). |
| MS.SHAREPOINT.2.2v1 | SharePoint | Les autorisations de partage par défaut de fichiers et de dossiers DOIVENT être définies sur Afficher. |
| MS.SHAREPOINT.3.1v1 | SharePoint | Les jours d’expiration des liens N’importe qui DOIVENT être fixés à 30 jours ou moins. |
| MS.SHAREPOINT.3.2v1 | SharePoint | Les permissions de fichiers et de dossiers autorisées pour les liens DOIVENT être définies sur Affichage uniquement. |
| MS.SHAREPOINT.3.3v1 | SharePoint | Les jours de réauthentification pour les personnes qui utilisent un code de vérification DOIVENT être fixés à 30 jours ou moins. |
| MS.SHAREPOINT.4.1v1 | SharePoint | Les utilisateurs DOIVENT être empêchés d’exécuter des scripts personnalisés sur des sites personnels (alias OneDrive). |
| MS.SHAREPOINT.4.2v1 | SharePoint | Les utilisateurs DOIVENT être empêchés d’exécuter des scripts personnalisés sur des sites créés en libre-service. |
Microsoft Teams
Application de collaboration en temps réel, où la sécurisation des accès, des fichiers partagés et des communications est essentielle pour éviter les fuites de données et les compromissions internes.
Points de contrôle de sécurité pour Microsoft Teams
| Id | Application | Description |
|---|---|---|
| MS.TEAMS.1.1v1 | Teams | Les participants à la réunion externe NE DOIVENT PAS être autorisés à demander le contrôle des bureaux ou des fenêtres partagés. |
| MS.TEAMS.1.2v1 | Teams | Les utilisateurs anonymes NE DOIVENT PAS être autorisés à démarrer des réunions. |
| MS.TEAMS.1.3v1 | Teams | Les utilisateurs anonymes et les appelants NE doivent PAS être admis automatiquement. |
| MS.TEAMS.1.4v1 | Teams | Les utilisateurs internes DEVRAIENT être admis automatiquement. |
| MS.TEAMS.1.5v1 | Teams | Les utilisateurs qui se connectent NE DEVRAIENT PAS être autorisés à contourner le lobby. |
| MS.TEAMS.1.6v1 | Teams | L’enregistrement de la réunion DEVRAIT être désactivé. |
| MS.TEAMS.1.7v1 | Teams | Enregistrer un événement DEVRAIT être réglé sur "Organisateur peut enregistrer". |
| MS.TEAMS.2.1v1 | Teams | L’accès externe pour les utilisateurs NE DOIT être activé que pour chaque domaine. |
| MS.TEAMS.2.2v1 | Teams | Les utilisateurs non gérés NE DOIVENT PAS être autorisés à entrer en contact avec les utilisateurs internes. |
| MS.TEAMS.2.3v1 | Teams | Les utilisateurs internes NE DOIVENT PAS être autorisés à entrer en contact avec des utilisateurs non gérés. |
| MS.TEAMS.3.1v1 | Teams | Le contact avec les utilisateurs de Skype DOIT être bloqué. |
| MS.TEAMS.4.1v1 | Teams | L’intégration de la messagerie électronique Teams DOIT être désactivée. |
| MS.TEAMS.5.1v1 | Teams | Les agences NE DEVRAIENT autoriser que l’installation d’applications Microsoft approuvées par l’agence. |
| MS.TEAMS.5.2v1 | Teams | Les agences NE DEVRAIENT autoriser que l’installation d’applications tierces approuvées par l’agence. |
| MS.TEAMS.5.3v1 | Teams | Les agences NE DEVRAIENT autoriser que l’installation d’applications personnalisées approuvées par l’agence. |
| MS.TEAMS.6.1v1 | Teams | Une solution DLP DOIT être activée. La solution DLP sélectionnée DEVRAIT offrir des services comparables à ceux de Microsoft. |
| MS.TEAMS.6.2v1 | Teams | La solution DLP DOIT protéger les informations personnelles (PII) et sensibles, limitant le partage de données critiques. |
| MS.TEAMS.7.1v1 | Teams | Les pièces jointes incluses avec les messages Teams DOIVENT être analysées pour détecter les logiciels malveillants. |
| MS.TEAMS.7.2v1 | Teams | Les utilisateurs DEVRAIENT être empêchés d’ouvrir ou de télécharger des fichiers détectés comme malveillants. |
| MS.TEAMS.8.1v1 | Teams | La comparaison d’URL avec une liste de blocage DEVRAIT être activée. |
| MS.TEAMS.8.2v1 | Teams | Le suivi des clics de l’utilisateur DEVRAIT être activé. |
Explications des points de contrôle
Entra ID
MS.AAD.1.1v1
- L’Authentification héritée DOIT être bloquée.
Description :
Ce point de contrôle vise à bloquer les méthodes d'authentification héritées (Legacy Authentication) dans Entra ID (anciennement Azure Active Directory). Ces méthodes utilisent des protocoles obsolètes qui ne prennent pas en charge l'authentification multifacteur (MFA), rendant les comptes plus vulnérables aux attaques par vol d'identifiants. En bloquant ces protocoles, on réduit significativement le risque d'accès non autorisé.
Explication pour un Public Non-Initié :
Ce point vise à bloquer des méthodes de connexion anciennes et moins sécurisées, appelées "authentification héritée". Ces anciennes méthodes n'offrent pas de protections modernes, comme la validation en deux étapes (MFA), ce qui facilite le vol d'identifiants. En les désactivant, on protège les comptes des utilisateurs contre des attaques et des accès non autorisés. Cependant, il est important de vérifier que cette action ne bloque pas le fonctionnement de certains équipements ou applications, comme des imprimantes ou de vieux logiciels.
MS.AAD.2.1v1
- Les utilisateurs détectés comme présentant un risque élevé DOIVENT être bloqués.
Description :
Ce point de contrôle vise à bloquer automatiquement les utilisateurs identifiés comme à haut risque par Entra ID (anciennement Azure AD). Ces utilisateurs peuvent présenter un risque élevé en raison d'activités suspectes telles que des tentatives de connexion inhabituelles, des localisations géographiques suspectes ou des comportements correspondant à des modèles d'attaques connues.
Explication pour un Public Non-Initié :
Lorsqu'Azure détecte des activités suspectes sur un compte utilisateur, il attribue à ce compte un score de risque. Si le score est élevé, une politique de sécurité peut automatiquement bloquer cet utilisateur pour éviter qu'un attaquant ayant volé les identifiants accède aux ressources.
MS.AAD.2.2v1
- Une notification DEVRAIT être envoyée à l’administrateur lorsque des utilisateurs à haut risque sont détectés.
Description :
Ce point de contrôle vise à garantir qu'une notification automatique est envoyée à un administrateur lorsqu'un utilisateur est détecté comme étant à haut risque dans Entra ID. Ces alertes permettent à l'équipe de sécurité de réagir rapidement en cas de comportement suspect ou d'intrusion potentielle, réduisant ainsi le temps de détection et de réponse.
Explication pour un Public Non-Initié :
Lorsqu'Entra ID détecte une activité suspecte ou une compromission potentielle d'un compte utilisateur, une notification est envoyée à l'administrateur. Cela permet de prendre des mesures immédiates, comme bloquer l'utilisateur ou demander une authentification supplémentaire.
MS.AAD.2.3v1
- Les connexions détectées comme présentant un risque élevé DOIVENT être bloquées.
Description :
Ce point de contrôle vise à bloquer automatiquement les tentatives de connexion détectées comme étant à haut risque. Cela permet de prévenir les accès non autorisés dus à des comptes compromis ou des attaques telles que le password spraying ou les credentials stuffing.
Explication pour un Public Non-Initié :
Lorsqu'un utilisateur tente de se connecter, Azure AD analyse automatiquement la tentative pour détecter des signes de risque, comme l’utilisation d’une adresse IP suspecte ou un emplacement inhabituel. Si la tentative est jugée à risque, elle est automatiquement bloquée avant que l’attaquant ne puisse accéder aux ressources. Par exemple, si un employé travaille habituellement en France et qu’une connexion est détectée depuis la Russie 10 minutes après une connexion en France, cela déclenche un blocage. Ce mécanisme protège l’organisation en empêchant les attaquants d’exploiter des identifiants volés ou faibles.
MS.AAD.3.1v1
- L’authentification multifacteur résistante au phishing DOIT être appliquée à tous les utilisateurs.
Description :
Ce point de contrôle recommande d'utiliser des méthodes d'authentification multifacteur (MFA) résistantes aux attaques de phishing. Certaines formes de MFA, comme les codes SMS ou les applications non sécurisées, sont vulnérables aux techniques de phishing avancées. En appliquant des méthodes modernes et résistantes, comme les clés de sécurité ou les protocoles basés sur FIDO2, ces risques sont minimisés.
Explication pour un Public Non-Initié :
Les MFA traditionnelles, comme les codes reçus par SMS, peuvent être détournées par des techniques avancées de phishing. Par exemple, un attaquant peut tromper un utilisateur pour qu'il saisisse son code sur un faux site web. Les méthodes modernes, comme les clés de sécurité FIDO2 ou Windows Hello, sont résistantes à ces attaques, car elles ne transmettent pas d'informations exploitables par l'attaquant.
L'objectif est de protéger les comptes des utilisateurs même dans des scénarios où ils sont ciblés par des campagnes de phishing sophistiquées.
MS.AAD.3.2v1
- Si l’authentification multifacteur résistante à l’hameçonnage n’a pas été appliquée, une autre méthode d’authentification multifacteur DOIT être appliquée pour tous les utilisateurs.
Description :
Ce point de contrôle vise à mettre en œuvre une méthode d’authentification multifacteur (MFA) pour tous les utilisateurs lorsque des méthodes résistantes au phishing ne sont pas encore appliquées. Il s'agit d'une mesure temporaire pour réduire les risques associés à l’authentification à facteur unique.
Explication pour un Public Non-Initié :
Ce point de contrôle vise à protéger les comptes des utilisateurs en exigeant une étape d’authentification supplémentaire, comme un code reçu sur un téléphone ou généré par une application. Cela réduit les risques d'accès non autorisé, même si un mot de passe est compromis.
MS.AAD.3.3v1
- Si l’authentification multifacteur résistante au phishing n’a pas été appliquée et que Microsoft Authenticator est activé, il DOIT être configuré pour afficher les informations de contexte de connexion.
Description :
Ce point de contrôle vise à réduire les risques d'attaques par phishing ciblant l'authentification multifacteur (MFA) lorsque Microsoft Authenticator est utilisé. L'affichage des informations contextuelles, comme l'emplacement ou le nom de l'application pour laquelle une connexion est demandée, aide les utilisateurs à détecter les tentatives de fraude.
Explication pour un Public Non-Initié :
Lorsque Microsoft Authenticator est utilisé pour approuver des connexions, il peut afficher des informations supplémentaires sur la tentative de connexion, comme l’application demandant l’accès ou l’emplacement de l'utilisateur. Cela aide les employés à détecter si une demande est frauduleuse.
MS.AAD.3.4v1
- La fonction Gérer la migration des méthodes d’authentification DOIT être définie sur Migration terminée.
Description :
Ce point de contrôle vise à désactiver les méthodes d'authentification héritées et à centraliser la gestion des méthodes modernes telles que l'authentification multifacteur (MFA) et la réinitialisation de mot de passe en libre-service (SSPR). La configuration de l'état Migration terminée dans la fonctionnalité Gérer la migration des méthodes d'authentification simplifie l'administration et réduit les risques de mauvaise configuration.
Explication pour un Public Non-Initié :
Dans le cadre de la sécurité, il est essentiel de désactiver les anciennes méthodes d'authentification et de centraliser la gestion des politiques. Cela permet de réduire les erreurs administratives et d'assurer que seuls les paramètres modernes et sécurisés sont utilisés.
Si un administrateur configure des politiques MFA et SSPR sur deux interfaces séparées, des incohérences peuvent survenir, exposant l'organisation à des risques inutiles. En activant Migration terminée, tout est centralisé et simplifié, garantissant une sécurité cohérente pour tous les utilisateurs.
MS.AAD.3.5v1
- Les méthodes d’authentification SMS, appel vocal et e-mail à usage unique (OTP) DOIVENT être désactivées.
Description :
Ce point de contrôle recommande de désactiver les méthodes d’authentification basées sur les SMS, les appels vocaux et les emails à usage unique (OTP), car elles sont considérées comme les plus faibles en termes de sécurité. Ces méthodes sont vulnérables aux attaques telles que l'interception de SMS, les attaques de SIM swapping ou les compromissions de boîte email.
Explication pour un Public Non-Initié :
les sms, les appels vocaux et les emails utilisés pour l’authentification sont vulnérables à des attaques. si un attaquant vole votre numéro de téléphone via une technique appelée sim swapping, il peut recevoir vos codes de sécurité par sms et accéder à vos comptes.
pour éviter cela, il est recommandé d'utiliser des méthodes modernes et sécurisées, comme une clé de sécurité physique (fido2) ou une application d’authentification qui génère des codes directement sur votre appareil. cela renforce considérablement la sécurité de vos comptes.
MS.AAD.3.6v1
- Une authentification multifacteur résistante au phishing DOIT être requise pour les rôles hautement privilégiés.
Description :
Ce point de contrôle garantit que les comptes dotés de privilèges élevés, comme les administrateurs globaux ou les gestionnaires de rôles critiques, utilisent une méthode d’authentification multifacteur (MFA) résistante au phishing. Cela constitue une couche de protection essentielle, même si une politique d’accès conditionnel est désactivée ou mal configurée.
Explication pour un Public Non-Initié :
Les rôles hautement privilégiés, comme ceux des administrateurs, permettent de modifier des paramètres sensibles et d’accéder à des données critiques. Si un attaquant parvient à compromettre ces comptes, il peut causer des dommages importants.
Pour éviter cela, une authentification multifacteur renforcée est indispensable. Plutôt qu’un simple mot de passe ou un code SMS, qui peuvent être interceptés, les administrateurs doivent utiliser des méthodes modernes comme une clé de sécurité physique ou une authentification biométrique. Cela protège le système même si les politiques de sécurité globales comportent des erreurs ou sont mal configurées.
MS.AAD.3.7v1
- Les périphériques gérés DEVRAIENT être requis pour l’authentification.
Description :
Ce point de contrôle recommande de restreindre l'accès aux systèmes d'authentification uniquement aux appareils gérés par l'organisation. Cela réduit les risques associés à l'utilisation d'appareils non sécurisés ou compromis par des attaquants. Les périphériques gérés sont supervisés et contrôlés par l'organisation, garantissant qu'ils respectent les politiques de sécurité.
Explication pour un Public Non-Initié :
Un appareil géré est un ordinateur, un téléphone ou une tablette supervisé par l'organisation pour garantir qu'il est sécurisé, par exemple protégé par un mot de passe, chiffré et régulièrement mis à jour. En autorisant uniquement ces appareils à se connecter, l'organisation limite les risques d'accès non autorisé.
Si un employé essaie de se connecter depuis un appareil personnel ou inconnu, il sera bloqué, sauf si cet appareil est enregistré et sécurisé par l'organisation. Cela réduit les possibilités pour les attaquants d'exploiter des failles sur des appareils non surveillés.
MS.AAD.3.8v1
- Les périphériques gérés DEVRAIENT être tenus d’enregistrer l’authentification multifacteur.
Description :
Ce point de contrôle vise à réduire le risque qu’un attaquant utilise des informations d’identification volées pour enregistrer un appareil non géré comme méthode d’authentification multifacteur (MFA). En exigeant l’utilisation de périphériques gérés pour enregistrer les méthodes MFA, l’organisation peut empêcher des tiers non autorisés de compromettre le processus.
Explication pour un Public Non-Initié :
Lorsqu’un utilisateur enregistre un appareil ou une méthode MFA, il ajoute une étape de sécurité supplémentaire pour protéger son compte. Cependant, si un attaquant vole le mot de passe d’un utilisateur, il pourrait enregistrer son propre appareil pour contourner les protections.
En limitant cet enregistrement aux appareils gérés par l’organisation, seuls des appareils approuvés et sécurisés peuvent être utilisés pour l'authentification. Cela empêche les attaquants d’utiliser leurs propres appareils pour accéder aux ressources critiques.
MS.AAD.4.1v1
- Les journaux de sécurité DOIVENT être envoyés au centre des opérations de sécurité de l’agence pour surveillance.
Description :
Ce point de contrôle vise à garantir que tous les journaux de sécurité, y compris les connexions, les événements d'authentification et les alertes de sécurité, soient centralisés dans une infrastructure dédiée comme un Centre des Opérations de Sécurité (SOC) ou un SIEM (Security Information and Event Management). Cela permet de détecter, auditer et répondre rapidement aux cyberattaques.
Explication pour un Public Non-Initié :
Centraliser les journaux de sécurité consiste à regrouper toutes les informations sur les activités du système dans un endroit unique, où elles peuvent être surveillées et analysées. Cela permet aux équipes de sécurité de détecter rapidement des activités suspectes et de réagir efficacement, limitant ainsi les risques d'attaques avant qu'elles ne causent des dommages importants.
MS.AAD.5.1v1
- Seuls les administrateurs SERONT autorisés à enregistrer des demandes.
Description :
Ce point de contrôle vise à limiter l'enregistrement des applications au sein du locataire Azure AD uniquement aux administrateurs. Cela réduit les risques de sécurité liés à l'installation ou à l'enregistrement d'applications malveillantes qui pourraient accéder aux données sensibles ou compromettre les ressources.
Explication pour un Public Non-Initié :
Les applications dans Azure AD peuvent demander des autorisations pour accéder à des données sensibles, comme des emails ou des fichiers. Si n'importe quel utilisateur peut enregistrer une application, un attaquant pourrait exploiter cette possibilité pour installer une application malveillante, compromettant ainsi les données de l'organisation.
En limitant cette capacité aux administrateurs, on ajoute une couche de contrôle et de validation. Cela protège l’organisation contre l’installation d’applications non autorisées ou malveillantes.
MS.AAD.5.2v1
- Seuls les administrateurs SERONT autorisés à consentir aux demandes.
Description :
Ce point de contrôle vise à restreindre la capacité de consentir aux autorisations demandées par des applications aux seuls administrateurs. Cela diminue les risques d'attaques par consentement malveillant, où des utilisateurs pourraient involontairement accorder des permissions à des applications malveillantes qui accèdent à des données sensibles.
Explication pour un Public Non-Initié :
Certaines applications demandent des autorisations pour accéder à des données comme des emails ou des fichiers. Les utilisateurs peuvent par erreur accorder des accès à des applications malveillantes, ce qui met en danger les données de l'organisation.
En limitant cette capacité aux administrateurs, une étape de contrôle supplémentaire est ajoutée. Les administrateurs examinent les demandes d’accès et valident uniquement celles qui sont légitimes, réduisant ainsi les risques d’accès non autorisé ou frauduleux.
MS.AAD.5.3v1
- Un flux de travail de consentement de l’administrateur DOIT être configuré pour les applications.
Description :
Ce point de contrôle recommande de configurer un workflow de consentement administrateur dans Azure AD. Ce processus permet aux utilisateurs de demander des autorisations pour les applications nécessaires à leurs activités professionnelles, tout en donnant aux administrateurs la possibilité d’évaluer les risques et de décider d’approuver ou de rejeter ces demandes.
Explication pour un Public Non-Initié :
Dans un environnement professionnel, les applications peuvent demander des autorisations pour accéder à des données sensibles, comme des fichiers ou des emails. Si un utilisateur accorde ces autorisations à une application malveillante par erreur, cela peut compromettre la sécurité de l'organisation.
Un workflow de consentement administrateur ajoute une étape de contrôle. Les utilisateurs soumettent leurs demandes d’autorisation, et les administrateurs examinent si l'application est légitime et si les autorisations demandées sont nécessaires. Cela réduit les risques liés aux applications malveillantes ou mal configurées.
MS.AAD.5.4v1
- Les propriétaires de groupe NE SONT PAS autorisés à consentir aux demandes.
Description :
Ce point de contr�ôle vise à empêcher les propriétaires de groupes et d'équipes dans Microsoft 365 (M365) d'autoriser eux-mêmes les applications à accéder aux données du locataire. Cette mesure réduit les risques d'exposition aux applications malveillantes pouvant exploiter des failles liées aux autorisations excessives ou mal comprises par des utilisateurs non techniques.
Explication pour un Public Non-Initié :
Dans un environnement Microsoft 365, les propriétaires de groupes ou d'équipes peuvent parfois approuver des applications demandant un accès aux données du locataire. Si ces propriétaires ne comprennent pas les implications, ils pourraient approuver des applications malveillantes, mettant ainsi en danger les données de l'organisation.
En restreignant cette capacité aux administrateurs, on ajoute un contrôle supplémentaire. Les administrateurs, formés pour évaluer les risques, examinent et approuvent uniquement les demandes légitimes, réduisant ainsi les risques de compromission des données.
MS.AAD.6.1v1
- Les mots de passe des utilisateurs NE DOIVENT PAS expirer.
Description :
Ce point de contrôle reflète les recommandations actuelles des organismes tels que le NIST (National Institute of Standards and Technology), selon lesquelles les mots de passe n'ont pas besoin d'expirer périodiquement. Les changements fréquents de mots de passe peuvent pousser les utilisateurs à adopter des pratiques moins sécurisées, comme la réutilisation ou la simplification des mots de passe.
Explication pour un Public Non-Initié :
Obliger les utilisateurs à changer régulièrement leur mot de passe peut les inciter à créer des mots de passe simples ou à réutiliser des variantes d’anciens mots de passe, ce qui affaiblit la sécurité. Les nouvelles recommandations privilégient l'utilisation de mots de passe forts qui ne changent que lorsqu’ils sont compromis.
Pour améliorer la sécurité, il est également recommandé d’adopter des solutions comme l’authentification multifacteur ou des systèmes sans mot de passe, réduisant ainsi les contraintes tout en renforçant la protection.
MS.AAD.7.1v1
- Un minimum de deux utilisateurs et un maximum de huit utilisateurs DOIVENT être provisionnés avec le rôle d’administrateur général.
Description :
Ce point de contrôle vise à limiter le nombre de comptes disposant du rôle Administrateur général dans Azure AD. Ce rôle offre un accès complet au locataire et constitue une cible privilégiée pour les attaquants. En réduisant ce nombre à un maximum de huit, les risques de compromission sont diminués, tout en conservant une redondance nécessaire pour les scénarios d’urgence ou opérationnels.
Explication pour un Public Non-Initié :
Les administrateurs généraux ont un contrôle total sur l’environnement Azure AD, y compris la gestion des autres comptes administrateurs. Si trop de personnes possèdent ce rôle, les risques augmentent, car un compte compromis pourrait donner un accès complet aux systèmes critiques.
En limitant ce rôle à un petit nombre de comptes, souvent réservés à des situations critiques ou d'urgence, l'organisation réduit les vulnérabilités tout en assurant une gestion efficace en cas de besoin. Ces comptes dédiés ne doivent pas être utilisés dans des tâches quotidiennes pour limiter leur exposition.
MS.AAD.7.2v1
- Les utilisateurs privilégiés DOIVENT être provisionnés avec des rôles plus précis au lieu d’un administrateur général.
Description :
Ce point de contrôle met en avant l'importance du principe du moindre privilège. De nombreux administrateurs n’ont pas besoin d’un accès illimité au locataire Azure AD pour accomplir leurs tâches quotidiennes. En attribuant des rôles spécifiques adaptés à leurs responsabilités, on réduit le risque de compromission des comptes hautement privilégiés.
Explication pour un Public Non-Initié :
Tous les administrateurs n'ont pas besoin des mêmes niveaux d'accès dans un système informatique. Par exemple, un administrateur chargé de gérer les utilisateurs n’a pas besoin d’accéder aux paramètres de sécurité ou aux configurations réseau. Si un compte avec des privilèges inutiles est compromis, cela pourrait entraîner des dommages importants.
En attribuant à chaque administrateur un rôle adapté à ses responsabilités, on limite l’exposition aux risques et réduit l’impact potentiel en cas de compromission d’un compte. Cette approche garantit une sécurité renforcée tout en maintenant une gestion efficace des accès.
MS.AAD.7.3v1
- Les utilisateurs privilégiés DOIVENT être provisionnés en comptes cloud uniquement, distincts d’un annuaire sur site ou d’autres fournisseurs d’identité fédérés.
Description :
Ce point de contrôle propose de créer des comptes cloud uniquement pour les utilisateurs privilégiés. Ces comptes, non liés aux infrastructures locales ou aux identités fédérées, permettent de réduire les risques d’attaques où des systèmes locaux compromis pourraient être utilisés pour accéder au cloud et obtenir des privilèges élevés.
Explication pour un Public Non-Initié :
Dans de nombreux environnements, les comptes administrateurs cloud sont souvent liés à des systèmes locaux ou à des services tiers. Si ces systèmes sont piratés, les attaquants peuvent utiliser ces connexions pour accéder aux ressources critiques du cloud.
En créant des comptes cloud uniquement pour les administrateurs, vous les isolez de ces risques, car ils ne dépendent pas de l’infrastructure locale. Cela ajoute une couche de protection et renforce la sécurité globale des systèmes.
MS.AAD.7.4v1
- L’attribution permanente de rôles actifs NE SERA PAS autorisée pour les rôles hautement privilégiés.
Description :
Ce point de contrôle recommande de remplacer les attributions permanentes de rôles privilégiés par un accès juste-à-temps (Just-In-Time). Avec cette méthode, les privilèges ne sont activés que lorsque nécessaire et pour une durée limitée, réduisant ainsi les risques liés à la compromission d’un compte. Cela minimise l’exposition et le temps d’accès des comptes hautement privilégiés.
Explication pour un Public Non-Initié :
Dans de nombreux environnements, les administrateurs disposent d’un accès permanent à des privilèges élevés, ce qui les expose à des risques importants si leur compte est compromis. Par exemple, un attaquant ayant accès à un compte administrateur peut utiliser ces privilèges pour causer des dommages considérables.
Avec l’approche juste-à-temps, les administrateurs activent leurs privilèges uniquement lorsqu’ils en ont besoin, pour une durée limitée. Une fois la tâche terminée, les privilèges sont automatiquement désactivés, ce qui réduit les risques d’abus et renforce la sécurité du système.
MS.AAD.7.5v1
- Le provisionnement des utilisateurs à des rôles hautement privilégiés NE DOIT PAS se produire en dehors d’un système PAM.
Description :
Ce point de contrôle recommande que l'attribution des rôles hautement privilégiés passe uniquement par un système PAM (Privileged Access Management). Ce système assure un contrôle, une sécurité et une auditabilité renforcés, réduisant ainsi les risques liés à la compromission des comptes ou à une mauvaise gestion des accès privilégiés.
Explication pour un Public Non-Initié :
Les rôles hautement privilégiés, comme celui d’administrateur général, donnent accès à des données critiques et à des paramètres sensibles. Si ces rôles sont attribués sans passer par un système dédié, cela augmente le risque de mauvaise gestion ou d’utilisation abusive.
Un système PAM centralise et sécurise ces attributions. Toute demande d’accès à des privilèges élevés doit être validée via ce système, qui enregistre chaque action et impose des contrôles comme une durée limitée ou une approbation préalable. Cela garantit que seuls les accès nécessaires sont accordés, réduisant ainsi les risques de compromission ou de mauvaises pratiques.
MS.AAD.7.6v1
- L’activation du rôle d’administrateur général DOIT nécessiter une approbation.
Description :
Ce point de contrôle impose qu’une approbation préalable soit nécessaire pour activer le rôle d’administrateur général. Cette mesure ajoute une couche de sécurité supplémentaire, compliquant l’exploitation des identifiants compromis par un attaquant. Elle offre également une meilleure visibilité sur les activations du rôle, permettant de détecter des comportements suspects.
Explication pour un Public Non-Initié :
Un administrateur général dispose d’un accès complet aux données et configurations du système. Sans contrôle, un attaquant ayant volé les identifiants de cet administrateur pourrait compromettre totalement l’organisation.
Exiger une approbation préalable ajoute une étape de validation avant d’activer ce rôle. Par exemple, lorsqu’un administrateur demande à activer ses privilèges, un autre responsable doit approuver cette demande après vérification. Cela empêche tout usage abusif et fournit une trace des actions, facilitant la détection d’activités anormales ou malveillantes.
MS.AAD.7.7v1
- Les attributions de rôles éligibles et actifs à privilèges élevés DOIVENT déclencher une alerte.
Description :
Ce point de contrôle vise à garantir que toute attribution de rôle à privilèges élevés, qu’il soit éligible ou actif, soit surveillée et signalée en temps réel. Cela permet aux équipes de sécurité de détecter rapidement les tentatives de compromission ou les comportements anormaux liés à des rôles sensibles, tels qu’Administrateur général ou Administrateur de sécurité.
Explication pour un Public Non-Initié :
Les rôles à privilèges élevés permettent d’accéder à des fonctionnalités critiques du système. L’attribution ou l’activation d’un tel rôle peut signaler une activité normale, mais aussi indiquer une tentative malveillante, comme l’utilisation d’un compte utilisateur compromis.
En configurant des alertes automatiques, les équipes de sécurité peuvent être informées immédiatement lorsqu’un tel événement se produit. Par exemple, si un rôle d’administrateur est activé à une heure inhabituelle, une alerte est déclenchée, permettant d’enquêter et de réagir rapidement pour prévenir une compromission.
MS.AAD.7.8v1
- L’activation par l’utilisateur du rôle d’administrateur général DOIT déclencher une alerte.
Description :
Ce point de contrôle met en avant l'importance de surveiller en temps réel toute activation du rôle d’administrateur général. Chaque activation doit déclencher des alertes immédiates afin que les équipes de sécurité puissent détecter et enquêter rapidement sur des tentatives de compromission ou des comportements inhabituels.
Explication pour un Public Non-Initié :
Le rôle d’administrateur général donne un accès complet au système, y compris aux données sensibles et aux paramètres critiques. Si un compte utilisant ce rôle est compromis, l’attaquant peut causer des dommages graves.
En configurant des alertes automatiques, chaque activation de ce rôle est signalée immédiatement aux équipes de sécurité. Cela leur permet de vérifier rapidement si l'activation est justifiée ou suspecte. Une réaction rapide limite les risques d'abus et améliore la sécurité globale de l��’environnement cloud.
MS.AAD.7.9v1
- L’activation par l’utilisateur d’autres rôles hautement privilégiés DEVRAIT déclencher une alerte.
Description :
Ce point de contrôle préconise une surveillance étroite de l’activation des rôles hautement privilégiés, autres que celui d’administrateur général. Des alertes doivent être générées pour permettre aux équipes de sécurité de détecter rapidement des tentatives de compromission ou des comportements anormaux, même dans des environnements où ces rôles sont fréquemment activés.
Explication pour un Public Non-Initié :
Les rôles hautement privilégiés, comme administrateur de sécurité ou gestionnaire des appareils, permettent d’accéder à des paramètres sensibles ou d’effectuer des actions critiques. Si un compte activant ces rôles est compromis, cela pourrait entraîner des modifications dangereuses ou une perte de données.
Pour éviter cela, des alertes automatiques doivent être configurées pour signaler toute activation de ces rôles. Les équipes de sécurité peuvent ainsi enquêter rapidement et vérifier si l’activation est légitime ou suspecte. Bien que ces alertes puissent être nombreuses, il est crucial de les analyser efficacement pour détecter les menaces les plus graves.
MS.AAD.8.1v1
- Les utilisateurs invités DOIVENT avoir un accès limité ou restreint aux objets d’annuaire Azure AD.
Description :
Limiter l’accès des utilisateurs invités aux objets d’Azure AD réduit les risques de reconnaissance malveillante si un compte invité est compromis ou créé de manière frauduleuse. Cette restriction diminue leur visibilité sur les informations sensibles contenues dans le tenant.
Explication pour un Public Non-Initié :
Les utilisateurs invités, comme les partenaires externes ou collaborateurs, peuvent avoir un accès aux informations de l’organisation dans Azure AD. Si leurs permissions ne sont pas limitées, ils pourraient voir des données comme les noms ou adresses email des membres de l’organisation, même si cela n’est pas nécessaire pour leur collaboration.
En restreignant cet accès, vous réduisez les risques qu’un compte invité compromis divulgue ou exploite ces informations. Cela protège les données sensibles de l’organisation tout en permettant aux invités de travailler uniquement avec les ressources nécessaires. Cette mesure équilibre sécurité et collaboration.
MS.AAD.8.2v1
- Seuls les utilisateurs ayant le rôle d’invité DEVRAIENT pouvoir inviter des utilisateurs invités.
Description :
Limiter les permissions d'invitation d'utilisateurs invités à un groupe restreint réduit les risques de création de comptes non autorisés dans l'annuaire Azure AD. Cette politique garantit que les utilisateurs externes sont ajoutés de manière contrôlée, suivant les processus de validation de l'organisation.
Explication pour un Public Non-Initié :
Dans une organisation, les utilisateurs externes, comme les partenaires ou consultants, peuvent être invités à collaborer. Cependant, si tous les employés peuvent inviter des utilisateurs, cela augmente les risques que des comptes non autorisés ou malveillants soient créés.
En limitant cette capacité à un groupe restreint, comme les administrateurs ou des responsables désignés, l’entreprise contrôle mieux le processus d’invitation. Cela garantit que chaque utilisateur invité est validé et que les accès sont conformes aux politiques de sécurité, protégeant ainsi les ressources internes contre des intrusions non souhaitées.
MS.AAD.8.3v1
- Les invitations d’invités NE DEVRAIENT ÊTRE AUTORISÉES QU’À des domaines externes spécifiques qui ont été autorisés par l’agence à des fins commerciales légitimes.
Description :
Restreindre les invitations d'utilisateurs invités à des domaines externes spécifiques réduit les risques d'accès non autorisé au tenant Azure AD par des organisations non approuvées. Cette politique garantit que seuls les partenaires commerciaux légitimes peuvent être ajoutés en tant qu'invités.
Explication pour un Public Non-Initié :
Lorsqu’une entreprise collabore avec des partenaires externes, des invitations sont souvent utilisées pour leur donner accès à certaines ressources. Cependant, permettre des invitations depuis n’importe quel domaine peut introduire des risques. Par exemple, un attaquant utilisant un domaine inconnu pourrait se faire passer pour un partenaire légitime.
En restreignant les invitations à des domaines spécifiques, comme ceux des partenaires approuvés, vous limitez les possibilités d’accès non autorisé. Cela protège vos données internes tout en maintenant une collaboration sécurisée avec vos partenaires de confiance.
Microsoft Defender pour Office 365
MS.DEFENDER.1.1v1
- Les politiques de sécurité standard et strictes prédéfinies DOIVENT être activées.
Description :
Ce point de contrôle vise à activer les politiques de sécurité prédéfinies dans Microsoft Defender. Ces politiques utilisent des paramètres par défaut configurés pour protéger les nouveaux utilisateurs et l'organisation contre les menaces courantes, telles que le phishing, les malwares et les tentatives d'intrusion.
Explication pour un Public Non-Initié :
Les politiques de sécurité prédéfinies dans Microsoft Defender sont des réglages automatiques conçus pour protéger les utilisateurs dès leur arrivée dans l’organisation. Ces politiques appliquent des paramètres stricts pour détecter et bloquer les menaces sans nécessiter de configuration manuelle.
Par exemple, elles permettent de :
- Bloquer les pièces jointes suspectes dans les emails.
- Effectuer une analyse approfondie des fichiers téléchargés.
L’objectif est de simplifier la gestion de la sécurité en appliquant directement ces protections par défaut, réduisant ainsi les risques pour l’organisation et ses utilisateurs.
MS.DEFENDER.1.2v1
- Tous les utilisateurs DOIVENT être ajoutés à Exchange Online Protection dans le cadre de la stratégie de sécurité standard ou stricte prédéfinie.
Description :
Ce point de contrôle recommande l’utilisation d’Exchange Online Protection (EOP) pour protéger les utilisateurs contre les menaces telles que le spam, les malwares et le phishing. L’ajout automatique des utilisateurs aux stratégies de sécurité prédéfinies, standard ou strictes, garantit une protection cohérente et uniforme pour l’ensemble de l’organisation.
Explication pour un Public Non-Initié :
Exchange Online Protection (EOP) agit comme une barrière de sécurité pour les emails de votre organisation. Il analyse les messages entrants et bloque les contenus dangereux, comme des pièces jointes infectées ou des liens frauduleux.
En intégrant automatiquement tous les utilisateurs aux politiques de sécurité "Standard" ou "Stricte", vous assurez une protection de base uniforme contre des menaces courantes sans effort supplémentaire. Cela sécurise l’ensemble des boîtes de réception et réduit les risques pour l’organisation.
MS.DEFENDER.1.3v1
- Tous les utilisateurs DOIVENT être ajoutés à la protection Defender pour Office 365 dans la politique de sécurité prédéfinie standard ou stricte.
Description :
Ce point de contrôle concerne l’application de la protection Defender pour Office 365 à tous les utilisateurs, offrant des fonctionnalités telles que Safe Attachments et Safe Links. Ces mécanismes, activés via des politiques de sécurité prédéfinies, garantissent que des paramètres de sécurité robustes sont appliqués uniformément aux utilisateurs, qu’ils soient nouveaux ou existants.
Explication pour un Public Non-Initié :
La protection Defender pour Office 365 agit comme une barrière intelligente pour sécuriser vos emails et fichiers. Par exemple, si vous recevez un email contenant une pièce jointe ou un lien, ces éléments sont automatiquement analysés avant que vous puissiez les ouvrir. Si une menace est détectée, l’accès est bloqué.
En appliquant des paramètres de sécurité standardisés à tous les utilisateurs, vous vous assurez que l’organisation bénéficie d’une protection complète contre les cyberattaques, sans nécessiter une configuration individuelle pour chaque personne. Cela renforce la sécurité globale tout en simplifiant sa gestion.
MS.DEFENDER.1.4v1
- Les comptes sensibles DOIVENT être ajoutés à Exchange Online Protection dans le cadre de la politique de sécurité prédéfinie stricte.
Description :
Les comptes sensibles, tels que ceux dotés de rôles administratifs ou contenant des informations critiques, doivent être protégés par une politique stricte via Exchange Online Protection (EOP). Cette politique renforce la sécurité des emails pour prévenir des menaces telles que le phishing, les malwares et les attaques ciblées.
Explication pour un Public Non-Initié :
Certains utilisateurs, comme les administrateurs ou ceux qui manipulent des données sensibles, sont des cibles privilégiées pour les cybercriminels. Protéger leurs emails avec une politique stricte signifie que chaque message est analysé de manière approfondie pour détecter des liens malveillants, des fichiers infectés ou des tentatives de phishing.
En renforçant la sécurité de ces comptes critiques, l’entreprise réduit le risque de compromission et d’accès non autorisé à des informations sensibles, protégeant ainsi son infrastructure globale.
MS.DEFENDER.1.5v1
- Les comptes sensibles DOIVENT être ajoutés à la protection Defender pour Office 365 dans le cadre de la politique de sécurité prédéfinie stricte.
Description :
Les comptes sensibles, associés à des rôles critiques ou à des informations confidentielles, doivent bénéficier de la politique stricte de Defender pour Office 365. Cette protection inclut des mécanismes avancés comme l’analyse des liens et des pièces jointes pour réduire les risques de compromission.
Explication pour un Public Non-Initié :
Les utilisateurs ayant accès à des informations ou à des fonctions sensibles sont des cibles privilégiées pour les cybercriminels. Les protections strictes de Defender pour Office 365 analysent chaque lien et pièce jointe reçus pour détecter et bloquer les menaces.
En sécurisant ces comptes avec des politiques robustes, l’entreprise limite les risques de compromission et protège ses données critiques contre les attaques ciblées.
MS.DEFENDER.2.1v1
- La protection contre l’usurpation d’identité de l’utilisateur DEVRAIT être activée pour les comptes sensibles dans les politiques prédéfinies standard et strictes.
Description :
La protection contre l’usurpation d’identité d’utilisateur empêche les attaques où des cybercriminels tentent de se faire passer pour des utilisateurs sensibles afin d’accéder à des informations critiques ou de manipuler d’autres utilisateurs. Cette fonctionnalité doit être activée pour les comptes sensibles via les politiques de sécurité prédéfinies standard et strictes.
Explication pour un Public Non-Initié :
Les cybercriminels peuvent essayer de se faire passer pour un employé ou un gestionnaire pour obtenir des informations sensibles ou accéder à des données critiques. En activant une protection spécifique contre ces tentatives d’imitation, l’entreprise peut détecter et bloquer ces attaques avant qu’elles ne causent des dommages. Cela renforce la sécurité des utilisateurs sensibles et limite les risques de compromission.
MS.DEFENDER.2.2v1
- La protection contre l’usurpation d’identité de domaine DEVRAIT être activée pour les domaines appartenant à l’agence dans les politiques prédéfinies standard et strictes.
Description :
La protection contre l’usurpation de domaine empêche les cybercriminels d’imiter des domaines légitimes de l’organisation pour tromper les utilisateurs. Cette fonctionnalité doit être activée pour tous les domaines de l'agence via les politiques de sécurité prédéfinies standard et strictes.
Explication pour un Public Non-Initié :
Les cybercriminels peuvent envoyer des emails ou créer des sites web utilisant des domaines similaires à ceux de l’organisation pour tromper les employés, les partenaires ou les clients. Par exemple, ils peuvent faire croire à un utilisateur qu’un email provient de l’organisation alors qu’il s’agit d’une tentative d’attaque. En activant une protection contre l’usurpation de domaine, ces imitations sont détectées et bloquées, renforçant ainsi la sécurité globale de l’agence.
MS.DEFENDER.2.3v1
- La protection contre l’usurpation d’identité de domaine DEVRAIT être ajoutée pour les partenaires importants dans les politiques prédéfinies standard et strictes.
Description :
La protection contre l’usurpation d’identité de domaine protège les domaines des partenaires clés de l’organisation en bloquant les tentatives des attaquants de créer des domaines similaires pour tromper les utilisateurs. Cette mesure inclut l’activation de cette fonctionnalité dans les politiques prédéfinies standard et strictes.
Explication pour un Public Non-Initié :
Les partenaires importants, comme des fournisseurs ou des clients stratégiques, jouent un rôle essentiel dans votre activité. Les cybercriminels pourraient tenter d’imiter leurs adresses web ou emails pour tromper vos employés ou clients et ainsi voler des informations ou compromettre des systèmes. En activant cette protection, vous bloquez ces imitations et garantissez des communications authentiques et sécurisées avec vos partenaires.
MS.DEFENDER.3.1v1
- Les pièces jointes sécurisées DEVRAIENT être activées pour SharePoint, OneDrive et Microsoft Teams.
Description :
Les pièces jointes sécurisées sont une fonctionnalité qui inspecte automatiquement les fichiers partagés via SharePoint, OneDrive et Microsoft Teams afin de détecter et neutraliser les menaces potentielles, telles que les virus et les logiciels malveillants.
Explication pour un Public Non-Initié :
Lorsque vous partagez des fichiers dans des outils comme Teams ou OneDrive, ces fichiers pourraient contenir des virus ou des logiciels malveillants. La fonctionnalité "Pièces jointes sécurisées" agit comme un filtre automatique qui analyse chaque fichier avant qu’il ne soit ouvert ou téléchargé, empêchant ainsi la propagation de virus et protégeant les utilisateurs et leurs appareils.
MS.DEFENDER.4.1v1
- Une politique personnalisée DOIT être configurée pour protéger les PII et les informations sensibles, telles que définies par l’agence.
Description :
Les politiques de prévention de la perte de données (Data Loss Prevention, ou DLP) permettent de détecter et d’empêcher le partage involontaire ou non autorisé d’informations sensibles. Cela inclut les données personnelles comme les numéros de carte de crédit, les numéros d'identification fiscale (ITIN) et les numéros de sécurité sociale (SSN).
Explication pour un Public Non-Initié :
Les employés peuvent par inadvertance partager des informations sensibles, comme des numéros de carte de crédit, avec des destinataires non autorisés. Avec une politique DLP, ces données sont automatiquement détectées et bloquées, évitant ainsi des fuites d’informations confidentielles et réduisant les risques juridiques ou financiers.
MS.DEFENDER.4.2v1
- La politique personnalisée DEVRAIT être appliquée à Exchange, OneDrive, SharePoint, Teams chat et Devices.
Description :
Les politiques de prévention de la perte de données (DLP) doivent couvrir tous les emplacements pertinents pour être efficaces. Cela inclut les services Microsoft 365 comme Exchange, OneDrive, SharePoint, Teams chat et les appareils. Cette couverture empêche les fuites de données sensibles via différents canaux.
Explication pour un Public Non-Initié :
Les données sensibles peuvent être partagées, volontairement ou non, via des emails, des discussions sur Teams ou des fichiers sur OneDrive. En appliquant des règles de sécurité (DLP) sur tous ces emplacements, on garantit que ces données restent sécurisées et ne tombent pas entre de mauvaises mains.
MS.DEFENDER.4.3v1
- L’action pour la politique personnalisée DEVRAIT être définie pour bloquer le partage d’informations sensibles avec tout le monde.
Description :
Cette mesure s'assure que les politiques de prévention de la perte de données (DLP) sont configurées pour bloquer tout partage d'informations sensibles, qu'il soit intentionnel ou non, avec des destinataires non autorisés.
Explication pour un Public Non-Initié :
Si un employé tente de partager, par accident ou volontairement, des données sensibles, cette politique bloque immédiatement l'action, évitant ainsi une fuite potentielle d'informations importantes. Cela permet de protéger les données cruciales de l'organisation.
MS.DEFENDER.4.4v1
- Les notifications visant à informer les utilisateurs et à les aider à apprendre l’utilisation appropriée des informations sensibles DEVRAIENT être activées dans la politique personnalisée.
Description :
Pour prévenir les fuites de données sensibles via des plateformes comme Exchange ou OneDrive, il est essentiel d'informer les utilisateurs grâce à des notifications qui les guident sur la manière de manipuler correctement les informations sensibles.
Explication pour un Public Non-Initié :
Ces notifications agissent comme des rappels éducatifs. Si un employé manipule des informations sensibles de manière incorrecte, une alerte l'informe du problème et lui donne des instructions pour corriger la situation. Cela permet d'éviter des erreurs coûteuses tout en sensibilisant les utilisateurs.
MS.DEFENDER.4.5v1
- Une liste des applications qui ne peuvent pas accéder aux fichiers protégés par la politique DLP DEVRAIT être définie.
Description :
Certaines applications peuvent accéder de manière inappropriée aux fichiers sensibles ou ne pas respecter les politiques de l’agence en matière d’accès à ces informations. En définissant une liste d’applications interdites, il devient possible d’utiliser des politiques DLP (Data Loss Prevention) pour restreindre l’accès de ces applications aux données sensibles sur les terminaux.
Explication pour un Public Non-Initié :
Certaines applications installées sur des appareils peuvent partager des fichiers sans autorisation ou ne pas suivre les règles de l’entreprise concernant la gestion des données sensibles. En créant une liste des applications interdites, l’entreprise peut bloquer ces logiciels et ainsi protéger les informations sensibles.
MS.DEFENDER.4.6v1
- La politique personnalisée DEVRAIT inclure une action visant à bloquer l’accès aux informations sensibles par les applications restreintes et les applications Bluetooth indésirables.
Description :
Certaines applications peuvent partager des fichiers sensibles ou ne pas respecter les politiques internes, notamment des applications Bluetooth non autorisées. En définissant une politique DLP qui inclut une action de blocage pour ces applications, le risque de divulgation non autorisée d’informations sensibles est considérablement réduit.
Explication pour un Public Non-Initié :
Certaines applications, y compris celles utilisant Bluetooth, peuvent transmettre ou partager des informations sensibles sans autorisation. Une politique de protection des données (DLP) peut être configurée pour bloquer automatiquement l’accès de ces applications, protégeant ainsi les informations importantes contre les fuites.
MS.DEFENDER.5.1v1
- Au minimum, les alertes requises par la base de configuration de sécurité CISA M365 pour Exchange Online DOIVENT être activées.
Description :
Sans un mécanisme de détection des événements potentiellement malveillants ou perturbateurs, ces incidents peuvent passer inaperçus, entraînant des impacts significatifs sur les utilisateurs ou l’organisation. Activer les alertes liées à la base de configuration de sécurité CISA pour Exchange Online permet de signaler ces événements aux administrateurs.
Explication pour un Public Non-Initié :
Activer les alertes sur les activités suspectes dans Exchange Online permet aux administrateurs d’être informés en temps réel des incidents potentiels. Cela aide à réagir rapidement et à minimiser les risques pour l’organisation.
MS.DEFENDER.5.2v1
- Les alertes DEVRAIENT être envoyées à une adresse surveillée ou intégrées dans un SIEM.
Description :
Les événements malveillants ou suspects peuvent causer des impacts significatifs s'ils ne sont pas traités rapidement. Configurer l'envoi d'alertes vers une adresse email surveillée ou un système SIEM (Security Information and Event Management) permet de garantir que ces événements sont pris en charge rapidement pour minimiser les impacts.
Explication pour un Public Non-Initié :
En configurant l'envoi des alertes de sécurité à une adresse surveillée ou à un système de gestion comme un SIEM, vous vous assurez qu'aucun incident critique ne passe inaperçu. Cela aide l’équipe de sécurité à réagir rapidement et à protéger l’organisation.
MS.DEFENDER.6.1v1
- La journalisation Microsoft Purview Audit (Standard) DOIT être activée.
Description :
Activer la journalisation Microsoft Purview Audit (Standard) permet d'assurer une visibilité sur les actions des utilisateurs et de répondre rapidement aux incidents. Pour les agences gouvernementales.
Explication pour un Public Non-Initié :
Activer cette fonctionnalité revient à installer une caméra de sécurité virtuelle sur vos systèmes pour surveiller toutes les activités importantes. Cela garantit que si un problème survient, vous avez une trace de ce qui s'est passé, vous permettant de réagir rapidement et efficacement.
MS.DEFENDER.6.2v1
- La journalisation Microsoft Purview Audit (Premium) DOIT être activée pour TOUS les utilisateurs.
Description :
La journalisation avancée avec Microsoft Purview Audit (Premium) permet de capturer des événements supplémentaires non inclus dans la version standard, offrant une visibilité accrue sur les actions des utilisateurs. Cela est particulièrement crucial pour les enquêtes sur les incidents.
Explication pour un Public Non-Initié :
C'est comme passer d'une simple caméra de sécurité à un système de vidéosurveillance ultra-détaillé qui non seulement enregistre ce qui se passe, mais fournit également des données supplémentaires pour comprendre pourquoi et comment un événement s'est produit. Cela améliore la capacité à réagir efficacement en cas de problème.
MS.DEFENDER.6.3v1
- Les registres de vérification DOIVENT être conservés.
Description :
La conservation des journaux d’audit pendant une période suffisante garantit que les informations nécessaires à une enquête sur des incidents anciens restent disponibles.
Explication pour un Public Non-Initié :
Conserver les enregistrements des activités dans le système suffisamment longtemps permet de mener des enquêtes en cas de problème découvert tardivement. Cela ressemble à garder les relevés bancaires pendant plusieurs années pour vérifier des transactions passées si nécessaire.
Exchange online
MS.EXO.1.1v1
- La redirection automatique vers des domaines externes DOIT être désactivée.
Description :
La redirection automatique des emails vers des domaines externes peut être exploitée par des attaquants pour maintenir un accès permanent aux emails d'une victime. En désactivant cette fonctionnalité, on réduit le risque de fuite de données vers des tiers malveillants tout en permettant les redirections internes légitimes.
Explication pour un Public Non-Initié :
Cette mesure empêche qu'un email reçu par un utilisateur soit automatiquement envoyé à une adresse extérieure à votre organisation, comme celle d'un attaquant. Cela permet d'éviter que des informations sensibles ou confidentielles soient volées sans que vous vous en rendiez compte.
MS.EXO.2.1v1
- Une liste d’adresses IP approuvées pour l’envoi de courrier DOIT être conservée.
Description :
Une liste précise des adresses IP autorisées doit être maintenue pour garantir que seuls les serveurs approuvés peuvent envoyer des emails pour le domaine. Cette mesure permet de détecter les messages falsifiés (spoofés) et d'assurer la livraison des messages légitimes lorsque le SPF (Sender Policy Framework) est activé.
Explication pour un Public Non-Initié :
Cette configuration aide à empêcher que des hackers envoient des emails frauduleux en utilisant le nom de votre organisation. Cela revient à s'assurer que seules les personnes autorisées peuvent envoyer des lettres avec votre logo.
MS.EXO.2.2v1
- Une politique SPF DOIT être publiée pour chaque domaine, désignant uniquement ces adresses comme expéditeurs approuvés.
Description :
L’objectif est de publier une politique SPF (Sender Policy Framework) pour chaque domaine d’une organisation, afin de prévenir la falsification du champ « FROM » dans les emails. Cela permet aux destinataires de détecter les emails usurpés et de réduire les risques d'attaques par phishing.
Explication pour un Public Non-Initié :
Publier une politique SPF revient à mettre une liste officielle des serveurs autorisés à envoyer des emails en votre nom. C’est un peu comme donner une liste de signatures vérifiées pour éviter que quelqu’un imite votre signature.
MS.EXO.3.1v1
- DKIM DEVRAIT être activé pour tous les domaines.
Description :
Ce point vise à activer DKIM (DomainKeys Identified Mail) pour tous les domaines d'une organisation. DKIM ajoute une signature numérique à chaque email envoyé, permettant au destinataire de vérifier que le contenu de l'email n'a pas été modifié et que l'expéditeur est bien légitime. Cela renforce la lutte contre les attaques de phishing via la falsification du champ « FROM »
Explication pour un Public Non-Initié :
DKIM agit comme un sceau inviolable apposé sur les emails pour prouver qu’ils viennent bien de vous et n’ont pas été modifiés. Cela aide les destinataires à faire confiance aux emails et à éviter les pièges des cybercriminels.
MS.EXO.4.1v1
- Une politique DMARC DOIT être publiée pour chaque domaine de deuxième niveau.
Description :
Ce point recommande de publier une politique DMARC (Domain-Based Message Authentication, Reporting, and Conformance) pour chaque domaine de deuxième niveau. DMARC agit comme une couche supplémentaire sur SPF et DKIM pour empêcher la falsification d'emails, en spécifiant aux serveurs de réception comment traiter les échecs d’authentification.
Explication pour un Public Non-Initié :
DMARC est comme un plan de sécurité pour vos emails. Il donne des instructions aux destinataires sur ce qu’il faut faire si un email échoue les contrôles de sécurité (SPF ou DKIM). Cela aide à bloquer les emails frauduleux tout en protégeant votre marque.
MS.EXO.4.2v1
- L’option de rejet de message DMARC DOIT être p = rejet.
Description :
Ce point de contrôle recommande de configurer la politique DMARC avec l'option p=reject. Cette option garantit que les messages échouant aux contrôles d'authentification (SPF et DKIM) sont rejetés et ne parviennent pas à la boîte de réception des utilisateurs. Cela offre la protection la plus robuste contre le spoofing, conformément à la directive BOD 18-01 pour les départements et agences FCEB.
Explication pour un Public Non-Initié :
Cette configuration bloque les emails qui ne passent pas les vérifications de sécurité, empêchant ainsi les emails frauduleux d’atteindre les utilisateurs. Cela revient à interdire l'accès à un bâtiment à toute personne ne présentant pas une pièce d'identité valide.
MS.EXO.4.3v1
- Le point de contact DMARC pour les rapports agrégés DOIT inclure une addresse mail.
Description :
Ce point de contrôle recommande d'inclure une adresse email comme point de contact dans les rapports DMARC. Cela permet de recevoir des rapports d'usurpation d'identité liés aux domaines.
Explication pour un Public Non-Initié :
Ajouter une adresse email pour recevoir des rapports d'activités suspectes liées aux emails est comme demander à la sécurité de votre quartier de vous informer des tentatives d'intrusion sur votre propriété. Cela améliore la surveillance et aide à détecter rapidement les attaques potentielles.
MS.EXO.4.4v1
- Un point de contact de l’agence DEVRAIT être inclus pour les rapports globaux et les rapports d’échec.
Description :
Ce point de contrôle recommande d'inclure un point de contact spécifique à l'agence dans la configuration DMARC pour recevoir les rapports agrégés et les rapports d’échec. Cela permet à l'agence d'avoir une meilleure visibilité sur les tentatives d'usurpation et d'identifier les éventuelles menaces ciblant leurs domaines.
Explication pour un Public Non-Initié :
Ajouter une adresse email ou un point de contact de l'agence permet de recevoir des alertes sur des emails potentiellement frauduleux utilisant le nom de domaine de l'agence. Cela revient à recevoir des notifications en cas de tentative d’usurpation d’identité.
MS.EXO.5.1v1
- SMTP AUTH DOIT être désactivé.
Description :
Ce point de contrôle vise à désactiver l’authentification SMTP (SMTP AUTH) au niveau global dans Microsoft Exchange Online. SMTP AUTH est une méthode d’authentification obsolète qui n'est plus utilisée par les clients de messagerie modernes. La désactivation de cette fonctionnalité réduit la surface d’attaque et respecte le principe de moindre fonctionnalité.
Explication pour un Public Non-Initié :
L’authentification SMTP est comme une vieille serrure qui est facile à forcer. Les clients de messagerie modernes n’en ont plus besoin, donc il est préférable de la désactiver pour éviter qu’un attaquant s’en serve.
MS.EXO.6.1v1
- Les dossiers de contacts NE DOIVENT PAS être partagés avec tous les domaines.
Description :
Ce point de contrôle vise à désactiver le partage par défaut des dossiers de contacts avec tous les domaines externes dans Microsoft Exchange Online. Cette configuration empêche la fuite de données sensibles tout en permettant un partage spécifique pour des usages légitimes si nécessaire.
Explication pour un Public Non-Initié :
Imaginez que votre carnet d’adresses personnel soit accessible à tout le monde par défaut. En empêchant ce partage automatique, vous gardez le contrôle sur qui peut voir vos contacts.
MS.EXO.6.2v1
- Les détails du calendrier NE DOIVENT PAS être partagés avec tous les domaines.
Description :
Ce point de contrôle vise à empêcher le partage par défaut des détails de calendrier avec tous les domaines externes dans Microsoft Exchange Online. Cette mesure limite le risque de fuite d'informations sensibles tout en permettant un partage spécifique si nécessaire.
Explication pour un Public Non-Initié :
Imaginez que votre emploi du temps personnel soit accessible à tous. Désactiver le partage automatique des détails de calendrier protège vos informations personnelles et professionnelles tout en permettant de partager avec des personnes spécifiques si besoin.
MS.EXO.7.1v1
- Les avertissements d’expéditeur externe DOIVENT être mis en œuvre.
Description :
Ce point de contrôle vise à alerter les utilisateurs lorsque des emails proviennent de l’extérieur de leur organisation. Cette pratique renforce la vigilance face aux tentatives de phishing, notamment lorsque l’expéditeur prétend être une personne interne.
Explication pour un Public Non-Initié :
C’est comme recevoir un colis et voir une étiquette indiquant qu’il vient d’un endroit inconnu. Ces alertes permettent aux employés de réfléchir à deux fois avant d’ouvrir des messages qui semblent suspects.
MS.EXO.8.1v1
- Une solution DLP DOIT être utilisée. La solution DLP sélectionnée DEVRAIT offrir des services comparables à la solution DLP native proposée par Microsoft.
Description :
Ce point de contrôle vise à empêcher les utilisateurs de divulguer involontairement des informations sensibles à des personnes non autorisées. Une solution de prévention contre la perte de données (DLP) détecte et bloque les transmissions de données sensibles via Exchange Online, garantissant ainsi une meilleure protection des informations critiques.
Explication pour un Public Non-Initié :
Une solution DLP agit comme un garde qui vérifie que les informations confidentielles ne quittent pas l’organisation par erreur. Cela évite qu’un employé envoie accidentellement des informations importantes à la mauvaise personne.
MS.EXO.8.2v1
- La solution DLP DOIT protéger les informations personnellement identifiables (PII) et les informations sensibles, telles que définies par l’agence. Au minimum, le partage de numéros de carte de crédit, de numéros d’identification fiscale (TIN) et de numéros de sécurité sociale (SSN) par e-mail DOIT être limité.
Description :
Ce point de contrôle vise à empêcher les utilisateurs de partager involontairement des informations sensibles ou des données personnelles (PII) avec des personnes non autorisées via Microsoft Exchange Online. Une politique DLP détecte les informations sensibles et bloque ou limite leur partage selon des règles définies.
Explication pour un Public Non-Initié :
Imaginez que des informations sensibles, comme des numéros de carte de crédit ou des informations fiscales, soient envoyées par erreur à la mauvaise personne. Une politique DLP agit comme un filet de sécurité qui empêche ces erreurs en bloquant les messages contenant des données sensibles.
MS.EXO.9.1v1
- Les e-mails DOIVENT être filtrés par types de fichiers joints. La solution de filtrage choisie DEVRAIT offrir des services comparables au filtre commun des pièces jointes de Microsoft Defender.
Description :
Ce point de contrôle vise à empêcher la propagation de logiciels malveillants distribués via des pièces jointes d'e-mails, notamment des fichiers à exécution automatique ("click-to-run"). Il impose un filtrage des e-mails basé sur les types de fichiers joints pour bloquer ceux considérés comme risqués.
Explication pour un Public Non-Initié :
Imaginez recevoir un e-mail avec une pièce jointe qui, si ouverte, installe un logiciel malveillant sur votre ordinateur. Ce point de contrôle agit comme un filtre automatique qui empêche ces types de fichiers dangereux d'arriver dans votre boîte mail.
MS.EXO.9.2v1
- Le filtre de pièce jointe DEVRAIT tenter de déterminer le véritable type de fichier et d’évaluer l’extension du fichier.
Description :
Ce point de contrôle vise à détecter les pièces jointes qui ont une extension de fichier modifiée pour masquer leur véritable type. Cette pratique est courante chez les attaquants pour dissimuler des fichiers malveillants, comme renommer un fichier .exe en .txt.
Explication pour un Public Non-Initié :
Imaginez recevoir un fichier nommé "document.txt" qui semble inoffensif, mais qui est en réalité un programme dangereux. Ce contrôle agit comme un détective, analysant le contenu des fichiers pour vérifier s'ils sont ce qu'ils prétendent être.
MS.EXO.9.3v1
- Les types de fichiers non autorisés DOIVENT être déterminés et définis. Au minimum, les fichiers « click-to-run » DEVRAIENT être bloqués (par exemple, .exe, .cmd et .vbe).
Description :
Ce point de contrôle recommande de définir une liste de types de fichiers non autorisés pour bloquer les pièces jointes susceptibles de contenir des contenus malveillants. Les fichiers « click-to-run » (.exe, .cmd, .vbe, etc.) sont particulièrement ciblés, car ils sont souvent utilisés pour distribuer des logiciels malveillants.
Explication pour un Public Non-Initié :
Imaginez qu’un email vous envoie un fichier qui semble utile, mais qui, une fois ouvert, installe un virus sur votre ordinateur. Ce contrôle agit comme un garde à l’entrée, bloquant ces fichiers dangereux avant même qu’ils n’atteignent votre boîte mail.
MS.EXO.10.1v1
- Les e-mails DOIVENT être analysés à la recherche de logiciels malveillants.
Description :
Les e-mails peuvent être exploités pour transmettre des logiciels malveillants. Ce point de contrôle recommande l'analyse automatique des e-mails entrants et sortants pour détecter et bloquer les logiciels malveillants avant qu'ils n'atteignent les utilisateurs finaux.
Explication pour un Public Non-Initié :
Pensez aux e-mails comme à des lettres que vous recevez. Parfois, des enveloppes peuvent contenir des objets dangereux. Ce contrôle agit comme un scanner de sécurité postal, vérifiant chaque lettre avant de vous la transmettre.
MS.EXO.10.2v1
- Les e-mails identifiés comme contenant des logiciels malveillants DOIVENT être mis en quarantaine ou supprimés.
Description :
Les e-mails peuvent servir de vecteurs pour diffuser des logiciels malveillants. Ce point de contrôle recommande que les e-mails identifiés comme malveillants soient immédiatement mis en quarantaine ou supprimés pour empêcher tout contact avec les utilisateurs finaux.
Explication pour un Public Non-Initié :
Imaginez un garde à l'entrée de votre maison qui empêche des colis suspects ou dangereux d'entrer. Ce contrôle agit de la même manière pour vos e-mails en bloquant ceux qui pourraient contenir des fichiers dangereux.
MS.EXO.10.3v1
- L’analyse des e-mails DOIT être capable d’examiner les e-mails après leur livraison.
Description :
Au fur et à mesure que les signatures de logiciels malveillants sont mises à jour, il devient possible d’identifier des e-mails contenant des malwares après leur livraison initiale. L’analyse rétroactive des e-mails réduit le risque de compromission des utilisateurs par des contenus malveillants.
Explication pour un Public Non-Initié :
C’est comme vérifier vos vieux courriels pour des messages dangereux après avoir appris qu’un nouveau type de virus existe. Cela permet de protéger vos données même après la réception initiale d’un e-mail.
MS.EXO.11.1v1
- Les contrôles de protection contre l’usurpation d’identité DEVRAIENT être utilisés.
Description :
Les utilisateurs peuvent ne pas identifier facilement des e-mails de phishing, en particulier lorsque l’adresse d’expéditeur (FROM) ressemble fortement à celle d’un contact légitime. L’utilisation de contrôles automatiques pour détecter les tentatives d’usurpation d’identité permet de réduire considérablement le risque de phishing réussi.
Explication pour un Public Non-Initié :
Imaginez qu’un escroc essaie de se faire passer pour votre banque en vous envoyant un e-mail. Avec des outils de détection d’imposteurs, ces faux messages peuvent être repérés et bloqués avant qu’ils ne vous atteignent.
MS.EXO.11.2v1
- Des avertissements de l’utilisateur, comparables aux conseils de sécurité de l’utilisateur inclus dans EOP, DEVRAIENT être affichés.
Description :
De nombreuses tâches liées à la détection des courriels suspects peuvent être automatisées, comme identifier des caractères inhabituels dans l’adresse d’expéditeur (FROM) ou détecter un expéditeur contactant pour la première fois. Fournir des avertissements visuels aux utilisateurs aide à réduire le risque de phishing sans leur imposer une charge supplémentaire.
Explication pour un Public Non-Initié :
C’est comme un panneau d’avertissement lorsque vous recevez un message suspect. Si l’expéditeur est inconnu ou si quelque chose semble étrange dans l’e-mail, un message vous prévient pour que vous soyez plus vigilant.
MS.EXO.11.3v1
- La solution de protection contre le phishing DEVRAIT inclure un outil de détection du phishing basé sur l’IA comparable à EOP Mailbox Intelligence.
Description :
Les attaques de phishing peuvent entraîner des fuites de données sensibles et des accès non autorisés. L'utilisation d'outils basés sur l'intelligence artificielle (IA) pour détecter les tentatives de phishing améliore considérablement le taux de détection et réduit le risque d'attaques réussies.
Explication pour un Public Non-Initié :
Imaginez un détecteur intelligent qui analyse chaque e-mail pour détecter automatiquement les messages suspects. Cela aide à éviter de tomber dans les pièges des courriels frauduleux.
MS.EXO.12.1v1
- Les listes d’adresses IP autorisées NE DEVRAIENT PAS être créées.
Description :
Les messages provenant d’adresses IP figurant sur une liste blanche (allow list) contournent des mécanismes de sécurité essentiels, tels que le filtrage anti-spam et les vérifications d’authentification des expéditeurs. L’élimination de ces listes limite les risques d’accès frauduleux ou de réception de courriels malveillants.
Explication pour un Public Non-Initié :
Ne configurez pas de "listes blanches" pour les adresses IP, car cela revient à faire passer certains messages directement sans vérifier s'ils sont sécurisés. C'est un peu comme laisser quelqu’un entrer chez vous sans demander son identité.
MS.EXO.12.2v1
- Les listes de sécurité NE DEVRAIENT PAS être activées.
Description :
Les messages provenant d’adresses figurant sur une liste de sécurité contournent des mécanismes de sécurité essentiels, tels que le filtrage anti-spam et les vérifications d’authentification des expéditeurs. L’évitement de ces listes limite les risques de menaces, bien qu’il soit conseillé d��’ajouter des adresses IP malveillantes connues à des listes de blocage.
Explication pour un Public Non-Initié :
Les listes de sécurité permettent à certains expéditeurs de contourner les vérifications essentielles. C'est comme donner un laissez-passer permanent à des visiteurs, ce qui pourrait inclure des individus malveillants. Évitez d'utiliser ces listes pour garantir la sécurité de vos communications.
MS.EXO.13.1v1
- L’audit de la boîte aux lettres DOIT être activé.
Description :
Les comptes utilisateurs d’Exchange Online peuvent être compromis ou utilisés à mauvais escient. L’activation de l’audit des boîtes aux lettres offre une source précieuse d’informations pour détecter et répondre aux abus éventuels de ces boîtes.
Explication pour un Public Non-Initié :
Activer l’audit de la boîte aux lettres permet de suivre les activités inhabituelles ou non autorisées, un peu comme installer une caméra de surveillance pour savoir qui entre et sort d’une pièce.
MS.EXO.14.1v1
- Un filtre anti-spam DOIT être activé. La solution de filtrage choisie DEVRAIT offrir des services comparables au filtrage natif des spams proposé par Microsoft.
Description :
Le spam représente une menace constante, car les courriers indésirables peuvent réduire la productivité des utilisateurs, encombrer inutilement les boîtes aux lettres et inclure parfois des liens ou des pièces jointes malveillants. Activer un filtre anti-spam permet de réduire la charge de travail des utilisateurs, d’éviter la congestion des boîtes mail et de limiter l’exposition à des contenus potentiellement malveillants.
Explication pour un Public Non-Initié :
Un filtre anti-spam agit comme un videur pour vos emails, bloquant les messages indésirables ou dangereux avant qu’ils n’entrent dans votre boîte de réception. Cela vous protège contre des liens dangereux et allège votre charge de travail.
MS.EXO.14.2v1
- Les spams et les spams à haut niveau de confiance DOIVENT être déplacés soit dans le dossier des courriers indésirables, soit dans le dossier de quarantaine.
Description :
Le spam peut nuire à la productivité, encombrer les boîtes aux lettres et inclure des liens ou des pièces jointes malveillants. Déplacer les spams dans un dossier spécifique (courriers indésirables ou quarantaine) permet aux utilisateurs de les filtrer efficacement tout en offrant la possibilité de consulter les messages incorrectement classés.
Explication pour un Public Non-Initié :
Imaginez que votre boîte aux lettres ait un compartiment spécial où les publicités et les messages suspects sont automatiquement envoyés. Cela vous aide à ne pas être distrait tout en vous laissant la possibilité de vérifier ces messages plus tard si nécessaire.
MS.EXO.14.3v1
- Les domaines autorisés NE DOIVENT PAS être ajoutés aux stratégies de protection antispam entrantes.
Description :
L'ajout de domaines autorisés dans les stratégies antispam peut permettre à des utilisateurs non vérifiés d’échapper aux protections. Bien que l’ajout d'expéditeurs spécifiques puisse aider à résoudre des faux positifs, autoriser des domaines entiers expose l'organisation à des risques accrus, notamment en cas d'abus sur des domaines communs comme office.com.
Explication pour un Public Non-Initié :
Imaginez une liste spéciale où tout le courrier provenant d’un groupe est automatiquement considéré comme sûr. Si ce groupe est trop large, cela pourrait inclure des expéditeurs malintentionnés et permettre à des messages nuisibles d’arriver dans votre boîte de réception.
MS.EXO.15.1v1
- La comparaison d’URL avec une liste de blocage DEVRAIT être activée.
Description :
Les utilisateurs peuvent être redirigés vers des sites web malveillants via des liens inclus dans des e-mails. Activer la vérification des URL contre une liste de blocage permet de réduire significativement le risque de visites accidentelles sur ces sites dangereux, ce qui peut empêcher les utilisateurs d'être exposés à des cyberattaques telles que le phishing ou le téléchargement de logiciels malveillants.
Explication pour un Public Non-Initié :
Imaginez qu'un e-mail vous invite à cliquer sur un lien vers un site qui semble légitime, mais qui pourrait infecter votre ordinateur. En activant une protection qui vérifie automatiquement si le site est dangereux, on vous protège avant même que vous ne puissiez cliquer.
MS.EXO.15.2v1
- Les liens de téléchargement direct DEVRAIENT être analysés pour détecter les logiciels malveillants.
Description :
Les URL dans les e-mails peuvent rediriger les utilisateurs vers des téléchargements de logiciels malveillants. En analysant en temps réel ces liens pour détecter la présence de logiciels malveillants connus et en bloquant l'accès si nécessaire, on peut éviter que les utilisateurs téléchargent des fichiers malveillants susceptibles d'infecter leurs appareils.
Explication pour un Public Non-Initié :
Imaginez recevoir un e-mail contenant un lien qui, lorsqu'il est cliqué, télécharge automatiquement un fichier sur votre ordinateur. Si ce fichier est dangereux, il pourrait causer des dégâts importants. Une analyse automatique en temps réel peut vérifier ces liens et empêcher le téléchargement si le fichier est jugé dangereux.
MS.EXO.15.3v1
- Le suivi des clics de l’utilisateur DEVRAIT être activé.
Description :
Les utilisateurs peuvent cliquer sur des liens malveillants dans les e-mails, ce qui peut entraîner des compromissions ou des divulgations non autorisées de données. Activer le suivi des clics permet de savoir si un lien malveillant a été visité, offrant ainsi aux organisations la possibilité d'adapter leur réponse à un incident potentiel.
Explication pour un Public Non-Initié :
Imaginez recevoir un e-mail avec un lien dangereux. Si quelqu'un clique sur ce lien, un système de suivi peut enregistrer cette action, permettant à l’équipe informatique de réagir rapidement pour prévenir ou limiter les dégâts.
MS.EXO.16.1v1
- Au minimum, les alertes suivantes DOIVENT être activées : a. Des modèles suspects d’envoi d’e-mails ont été détectés. b. Activité suspecte du connecteur. c. Activité suspecte de transfert d’e-mails. d. Les messages ont été retardés. e. Le locataire n’est pas autorisé à envoyer des e-mails non provisionnés. f. Le locataire n’est pas autorisé à envoyer des e-mails. g. Un clic sur une URL potentiellement malveillante a été détecté.
Description :
Des événements potentiellement malveillants ou impactant le service peuvent passer inaperçus sans un mécanisme de détection. Configurer des alertes permet d'attirer l'attention des administrateurs sur ces événements pour minimiser les impacts sur les utilisateurs et l'agence.
Explication pour un Public Non-Initié :
Ces alertes fonctionnent comme des alarmes dans une maison : elles signalent rapidement toute activité suspecte, permettant à l’équipe de sécurité de réagir avant que des problèmes graves ne surviennent.
MS.EXO.16.2v1
- Les alertes DEVRAIENT être envoyées à une adresse surveillée ou intégrées dans un système de gestion des informations et des événements de sécurité (SIEM).
Description :
Les événements suspects ou malveillants, s'ils ne sont pas traités rapidement, peuvent avoir un impact accru sur les utilisateurs et l'agence. L'envoi d'alertes à une adresse email surveillée ou leur intégration dans un système SIEM garantit que ces événements sont pris en charge en temps opportun pour limiter leur impact global.
Explication pour un Public Non-Initié :
C'est comme avoir une alarme incendie qui informe instantanément les pompiers lorsqu'un feu se déclare. Les alertes permettent de réagir rapidement pour limiter les dégâts.
MS.EXO.17.1v1
- La journalisation Microsoft Purview Audit (Standard) DOIT être activée.
Description :
Répondre à des incidents sans disposer d'informations détaillées sur les activités effectuées ralentit les actions de réponse. Activer Microsoft Purview Audit (Standard) garantit que les agences disposent d'une visibilité sur les actions des utilisateurs.
Explication pour un Public Non-Initié :
C'est comme avoir une caméra de surveillance qui enregistre tout ce qui se passe dans un bâtiment. Si un incident se produit, les enregistrements permettent de savoir ce qui s'est passé et comment y répondre.
MS.EXO.17.2v1
- La journalisation Microsoft Purview Audit (Premium) DOIT être activée.
Description :
La journalisation standard peut ne pas inclure tous les détails nécessaires pour comprendre les actions des utilisateurs lors d'un incident. Activer Microsoft Purview Audit (Premium) permet de capturer des types d'événements supplémentaires qui ne sont pas inclus dans la version Standard.
Explication pour un Public Non-Initié :
C'est comme une caméra de surveillance avec une meilleure résolution et la capacité d'enregistrer plus de détails. Cela permet de mieux comprendre ce qui s'est passé en cas de problème et d'agir plus efficacement.
MS.EXO.17.3v1
- Les registres de vérification DOIVENT être conservés.
Description :
Les journaux d'audit peuvent devenir inaccessibles ou inutilisables si leur durée de conservation n'est pas suffisante. Une période de rétention prolongée offre à l'agence la visibilité nécessaire pour enquêter sur des incidents plus anciens.
Explication pour un Public Non-Initié :
C'est comme conserver des enregistrements de vidéosurveillance pendant une période prolongée pour vérifier des événements passés en cas de problème ou d'incident.
SharePoint Online
MS.SHAREPOINT.1.1v1
- Le partage externe pour SharePoint DOIT être limité aux invités existants ou uniquement aux personnes de votre organisation.
Description :
Le partage d'informations en dehors de l'organisation via SharePoint peut augmenter les risques d'accès non autorisé. En limitant le partage externe, les administrateurs réduisent les risques d'exposition à des utilisateurs non approuvés.
Explication pour un Public Non-Initié :
C'est comme donner l'accès à des documents sensibles uniquement à des visiteurs spécifiques ayant été invités, au lieu de laisser tout le monde y accéder.
MS.SHAREPOINT.1.2v1
- Le partage externe pour OneDrive DOIT être limité aux invités existants ou uniquement aux personnes de votre organisation.
Description :
Le partage de fichiers en dehors de l'organisation via OneDrive peut augmenter le risque d'accès non autorisé. En limitant le partage externe, les administrateurs réduisent ces risques.
Explication pour un Public Non-Initié :
C'est comme donner accès à vos documents uniquement à des amis que vous avez déjà approuvés, plutôt qu'à tout le monde.
MS.SHAREPOINT.1.3v1
- Le partage externe DOIT être limité aux domaines externes approuvés et/ou aux utilisateurs dans des groupes de sécurité approuvés selon les besoins de collaboration inter-agences.
Description :
En restreignant le partage à des domaines externes ou des groupes de sécurité spécifiquement approuvés pour les collaborations inter-agences, les administrateurs limitent le risque de partage accidentel ou intentionnel avec des entités inconnues ou non autorisées.
Explication pour un Public Non-Initié :
C'est comme donner les clés de votre maison uniquement aux voisins ou amis de confiance, et non à des étrangers.
MS.SHAREPOINT.1.4v1
- L’accès des invités DOIT être limité à l’adresse e-mail à laquelle l’invitation a été envoyée.
Description :
Limiter l'accès des invités à l'adresse e-mail à laquelle l'invitation a été envoyée réduit les risques d'accès non autorisé, même si le lien d'invitation est transmis ou intercepté par une autre personne.
Explication pour un Public Non-Initié :
C'est comme envoyer une clé digitale qui ne fonctionne que pour la personne spécifique à qui elle est destinée. Même si quelqu'un d'autre obtient cette clé, elle ne fonctionnera pas pour eux.
MS.SHAREPOINT.2.1v1
- L’étendue du partage par défaut des fichiers et des dossiers DOIT être définie sur Personnes spécifiques (uniquement les personnes spécifiées par l’utilisateur).
Description :
Configurer les paramètres par défaut pour limiter le partage des fichiers et dossiers à des personnes spécifiques réduit les risques de divulgation non intentionnelle d'informations sensibles.
Explication pour un Public Non-Initié :
C'est comme verrouiller une porte et ne remettre la clé qu'aux personnes de confiance. cela empêche quiconque de "trouver" l'accès par accident.
MS.SHAREPOINT.2.2v1
- Les autorisations de partage par défaut de fichiers et de dossiers DOIVENT être définies sur Afficher.
Description :
Restreindre les autorisations par défaut à "Afficher" pour les fichiers et dossiers empêche les utilisateurs de modifier des contenus de manière non autorisée, réduisant ainsi les risques de perte de données ou de compromission.
Explication pour un Public Non-Initié :
c'est comme donner une copie d'un document imprimé : les autres peuvent le lire, mais pas le modifier.
MS.SHAREPOINT.3.1v1
- Les jours d’expiration des liens N’importe qui DOIVENT être fixés à 30 jours ou moins.
Description :
Les liens d'accès "N'importe qui" (Anyone Links) peuvent offrir une commodité pour le partage temporaire, mais sans limite d'expiration, ces liens créent un risque de partage involontaire à long terme. En définissant une durée d'expiration (30 jours ou moins), on minimise les risques d'accès prolongé non autorisé.
Explication pour un Public Non-Initié :
Imaginez prêter vos clés pour une journée. Si vous ne reprenez pas les clés après une journée, elles pourraient être utilisées indéfiniment par quelqu’un d’autre. Fixer une date limite (expiration) pour ces clés garantit qu'elles ne sont utilisables que temporairement.
MS.SHAREPOINT.3.2v1
- Les permissions de fichiers et de dossiers autorisées pour les liens DOIVENT être définies sur Affichage uniquement.
Description :
L'accès anonyme ou ouvert avec des autorisations d'édition peut permettre à des utilisateurs non autorisés d'apporter des modifications à des fichiers ou dossiers. En restreignant ces permissions à "Affichage uniquement", les administrateurs empêchent les modifications non autorisées des fichiers partagés via des liens.
Explication pour un Public Non-Initié :
Partager un fichier avec un lien revient à donner une copie visible à quelqu’un, sans lui permettre d’écrire dessus. Cela évite qu’il modifie ou efface votre travail par erreur ou intentionnellement.
MS.SHAREPOINT.3.3v1
- Les jours de réauthentification pour les personnes qui utilisent un code de vérification DOIVENT être fixés à 30 jours ou moins.
Description :
Les codes de vérification, utilisés pour fournir un accès temporaire à des informations, peuvent potentiellement permettre un accès prolongé s'ils n'ont pas d'échéance. La définition d'une période d'expiration pour ces codes limite la possibilité d'accès non autorisé à long terme.
Explication pour un Public Non-Initié :
Si quelqu'un reçoit un code d'accès temporaire pour consulter un fichier, ce code ne devrait pas fonctionner pour toujours. Limiter sa durée réduit les risques d'utilisation abusive si le code tombe entre de mauvaises mains.
MS.SHAREPOINT.4.1v1
- Les utilisateurs DOIVENT être empêchés d’exécuter des scripts personnalisés sur des sites personnels (alias OneDrive).
Description :
Les scripts personnalisés dans les dossiers OneDrive peuvent s'exécuter dans le contexte d'un utilisateur visitant le site, accédant ainsi aux mêmes ressources que cet utilisateur. En empêchant l'exécution de scripts personnalisés sur les sites personnels (OneDrive), les administrateurs réduisent les risques d'exécution de code malveillant.
Explication pour un Public Non-Initié :
Un script personnalisé peut être dangereux si un utilisateur mal intentionné y insère du code malveillant. Bloquer cette possibilité sur les sites personnels (comme OneDrive) protège vos données.
MS.SHAREPOINT.4.2v1
- Les utilisateurs DOIVENT être empêchés d’exécuter des scripts personnalisés sur des sites créés en libre-service.
Description :
Les scripts personnalisés sur les sites SharePoint créés en libre-service s'exécutent dans le contexte de l'utilisateur visitant le site. Cela leur donne accès à toutes les ressources auxquelles l'utilisateur a accès. En bloquant l'utilisation de ces scripts, les administrateurs réduisent le risque d'exécution de code malveillant.
Explication pour un Public Non-Initié :
Empêcher les scripts personnalisés, c'est comme interdire l'installation de logiciels inconnus sur un ordinateur partagé. Cela protège les informations sensibles contre des programmes malveillants pouvant exploiter des failles.
Microsoft Teams
MS.TEAMS.1.1v1
- Les participants à la réunion externe NE DOIVENT PAS être autorisés à demander le contrôle des bureaux ou des fenêtres partagés.
Description :
Un participant externe ayant le contrôle d’un écran partagé pourrait potentiellement effectuer des actions non autorisées. Cette politique réduit ce risque en supprimant la possibilité pour les participants externes de demander le contrôle.
Explication pour un Public Non-Initié :
Imaginez partager votre écran pendant une réunion et qu'une personne extérieure puisse cliquer ou modifier ce qui est affiché. Limiter cette possibilité empêche des actions accidentelles ou malveillantes.
MS.TEAMS.1.2v1
- Les utilisateurs anonymes NE DOIVENT PAS être autorisés à démarrer des réunions.
Description :
Pour les agences ayant mis en œuvre des politiques personnalisées permettant plus de flexibilité en admettant automatiquement "tout le monde" dans une réunion, cette politique protège contre les utilisateurs anonymes qui pourraient démarrer des réunions pour extraire des contacts internes.
Explication pour un Public Non-Initié :
Imaginez une réunion qui commence sans que l’hôte soit présent, ce qui pourrait permettre à des inconnus de découvrir des informations sensibles. Bloquer cette possibilité empêche des actions malveillantes.
MS.TEAMS.1.3v1
- Les utilisateurs anonymes et les appelants ne doivent pas être admis automatiquement.
Description :
Admettre automatiquement des utilisateurs anonymes et des appelants téléphoniques réduit le contrôle sur les participants et augmente les risques de violations de données. Cette politique atténue ces risques en exigeant que tous ces utilisateurs attendent dans une salle d’attente jusqu’à ce qu’un participant autorisé les admette.
Explication pour un Public Non-Initié :
Pour éviter que des personnes non identifiées rejoignent automatiquement une réunion, on peut les faire attendre dans une salle virtuelle jusqu’à ce qu’un responsable vérifie leur identité et décide de les laisser entrer.
MS.TEAMS.1.4v1
- Les utilisateurs internes DEVRAIENT être admis automatiquement.
Description :
Demander aux utilisateurs internes d’attendre dans la salle d’attente pour être explicitement admis peut entraîner une fatigue d’admission pour les organisateurs. Cette politique permet aux utilisateurs internes d’être automatiquement admis aux réunions via une politique globale.
Explication pour un Public Non-Initié :
Pour faciliter les réunions, les employés de l’entreprise peuvent rejoindre directement sans devoir attendre qu’on leur ouvre la porte virtuelle. Cela évite des interruptions inutiles pour les organisateurs.
MS.TEAMS.1.5v1
- Les utilisateurs qui se connectent NE DEVRAIENT PAS être autorisés à contourner le lobby.
Description :
Admettre automatiquement des utilisateurs via un accès téléphonique réduit le contrôle sur les participants à une réunion et augmente le risque de violation des données. Cette politique diminue le risque en exigeant que tous les utilisateurs connectés par téléphone attendent dans le lobby jusqu'à leur admission par un participant autorisé.
Explication pour un Public Non-Initié :
Pour plus de sécurité, les participants qui rejoignent une réunion par téléphone doivent attendre qu’un organisateur ou un participant autorisé les laisse entrer. Cela permet d’éviter les intrusions non souhaitées.
MS.TEAMS.1.6v1
- L’enregistrement de la réunion DEVRAIT être désactivé.
Description :
Permettre à n'importe quel utilisateur d'enregistrer une réunion ou un appel de groupe Teams peut entraîner la divulgation non autorisée d'informations partagées, y compris l'audio, la vidéo et les écrans partagés. En désactivant la fonction d'enregistrement des réunions dans la politique de réunion globale (par défaut de l'organisation), une agence limite l'exposition des informations.
Explication pour un Public Non-Initié :
L'enregistrement des réunions peut exposer des informations sensibles si elles tombent entre de mauvaises mains. En désactivant cette option par défaut, on protège mieux les discussions confidentielles.
MS.TEAMS.1.7v1
- Enregistrer un événement DEVRAIT être réglé sur Organisateur peut enregistrer.
Description :
Les paramètres par défaut des événements en direct permettent à tous les participants d'enregistrer les événements, ce qui constitue un risque de sécurité. Limiter les autorisations d'enregistrement à l'organisateur minimise ce risque en lui laissant le contrôle exclusif de cette fonctionnalité.
Explication pour un Public Non-Initié :
Limiter l'enregistrement des événements en direct uniquement à l'organisateur garantit que seules les personnes autorisées peuvent conserver des copies des événements importants, réduisant ainsi le risque de mauvaise utilisation des informations partagées.
MS.TEAMS.2.1v1
- L’accès externe pour les utilisateurs NE DOIT être activé que pour chaque domaine.
Description :
La configuration par défaut permet aux membres de communiquer avec tous les utilisateurs externes ayant des permissions similaires, ce qui peut entraîner des violations de données et des menaces de sécurité. Cette politique restreint les communications aux seuls domaines approuvés, réduisant ainsi les risques liés aux accès non contrôl�és.
Explication pour un Public Non-Initié :
Restreindre l'accès externe aux seuls domaines de confiance garantit que vos équipes collaborent uniquement avec des partenaires approuvés, limitant ainsi les risques de fuite d'informations vers des tiers non autorisés.
MS.TEAMS.2.2v1
- Les utilisateurs non gérés NE DOIVENT PAS être autorisés à entrer en contact avec les utilisateurs internes.
Description :
Autoriser les contacts provenant d’utilisateurs non gérés peut exposer les utilisateurs internes au risque de collecte de leurs adresses email et autres coordonnées. Cette politique vise à prévenir ce type de collecte en interdisant les contacts avec des utilisateurs non gérés.
Explication pour un Public Non-Initié :
Empêcher les contacts de la part d’utilisateurs inconnus ou non gérés réduit les risques de recevoir des messages indésirables ou de voir ses informations personnelles utilisées de manière abusive.
MS.TEAMS.2.3v1
- Les utilisateurs internes NE DOIVENT PAS être autorisés à entrer en contact avec des utilisateurs non gérés.
Description :
Le contact avec des utilisateurs non gérés peut entraîner des fuites de données et d'autres menaces pour la sécurité. Cette politique vise à protéger les utilisateurs internes en désactivant leur capacité à interagir avec des utilisateurs non gérés.
Explication pour un Public Non-Initié :
Bloquer la communication entre les employés de l'organisation et les utilisateurs non identifiés protège contre la perte d'informations sensibles ou des attaques provenant de sources non vérifiées.
MS.TEAMS.3.1v1
- Le contact avec les utilisateurs de Skype DOIT être bloqué.
Description :
Permettre le contact avec des utilisateurs Skype expose les utilisateurs de l’agence à des risques de sécurité supplémentaires. En bloquant ces contacts, l’agence réduit les menaces provenant des vulnérabilités potentielles du produit Skype.
Explication pour un Public Non-Initié :
Autoriser vos employés à communiquer avec des utilisateurs Skype peut ouvrir des portes aux pirates. Bloquer cette possibilité, c’est comme installer une serrure plus sûre sur votre porte d’entrée.
MS.TEAMS.4.1v1
- L’intégration de la messagerie électronique Teams DOIT être désactivée.
Description :
L’intégration de Microsoft Teams avec une messagerie électronique utilise une adresse e-mail Microsoft (et non celle du domaine du locataire) pour associer des messages à un canal Teams. Désactiver cette intégration empêche que des messages potentiellement sensibles soient envoyés via des passerelles e-mail externes.
Explication pour un Public Non-Initié :
Si cette fonctionnalité reste active, les messages sensibles dans Teams peuvent être envoyés en dehors de l’entreprise via des adresses e-mail Microsoft générales. Désactiver cette option, c’est comme s’assurer que seules les boîtes aux lettres officielles de l’entreprise peuvent être utilisées.
MS.TEAMS.5.1v1
- Les agences NE DEVRAIENT autoriser que l’installation d’applications Microsoft approuvées par l’agence.
Description :
Autoriser l’intégration de Teams avec toutes les applications Microsoft peut exposer l’agence à des vulnérabilités potentielles présentes dans ces applications. En limitant l’autorisation à des applications spécifiques et approuvées, l’agence réduit les points d’exposition et améliore la gestion de l’intégration des applications.
Explication pour un Public Non-Initié :
Permettre à Teams d’accéder à toutes les applications Microsoft revient à ouvrir une porte à des programmes que vous ne connaissez pas forcément bien. Limiter l’accès aux applications approuvées, c’est comme choisir qui peut entrer dans votre maison, plutôt que de laisser tout le monde.
MS.TEAMS.5.2v1
- Les agences NE DEVRAIENT autoriser que l’installation d’applications tierces approuvées par l’agence.
Description :
Autoriser l’intégration de Teams avec des applications tierces peut exposer l’agence à des vulnérabilités potentielles inhérentes à ces applications non gérées par l’agence. En limitant l’autorisation aux applications tierces approuvées, l’agence minimise les risques de sécurité tout en maintenant un contrôle strict sur les intégrations autorisées.
Explication pour un Public Non-Initié :
Permettre à Teams de se connecter à toutes sortes d’applications externes revient à ouvrir des portes à des inconnus dans votre maison. Limiter ces connexions uniquement aux applications que vous connaissez et avez approuvées garantit que seules des personnes de confiance peuvent entrer.
MS.TEAMS.5.3v1
- Les agences NE DEVRAIENT autoriser que l’installation d’applications personnalisées approuvées par l’agence.
Description :
Autoriser les utilisateurs à charger des applications personnalisées non validées peut introduire des risques de sécurité, tels que des logiciels malveillants ou des failles inconnues. Cette politique réduit ces risques en limitant l’installation uniquement aux applications personnalisées approuvées par l’agence.
Explication pour un Public Non-Initié :
Permettre aux utilisateurs d’installer librement des applications revient à autoriser l’ajout de programmes potentiellement dangereux. Limiter ces installations uniquement aux applications vérifiées par l’agence, c’est comme autoriser uniquement les appareils sécurisés dans un bâtiment.
MS.TEAMS.6.1v1
- Une solution DLP DOIT être activée. La solution DLP sélectionnée DEVRAIT offrir des services comparables à la solution DLP native proposée par Microsoft.
Description :
Les utilisateurs de Teams pourraient, par inadvertance, divulguer des informations sensibles à des individus non autoris�és. Les politiques de prévention contre la perte de données (DLP) permettent de détecter et de prévenir ces divulgations non autorisées en mettant en place des restrictions automatiques.
Explication pour un Public Non-Initié :
La prévention contre la perte de données agit comme un filet de sécurité pour éviter que des informations importantes ne soient envoyées par erreur à la mauvaise personne. C’est un peu comme un détecteur de métaux à l’aéroport qui empêche les objets interdits de passer.
MS.TEAMS.6.2v1
- La solution DLP DOIT protéger les informations personnellement identifiables (PII) et les informations sensibles, telles que définies par l’agence. Au minimum, le partage de numéros de carte de crédit, de numéros d’identification fiscale (TIN) et de numéros de sécurité sociale (SSN) par courrier électronique DOIT être limité.
Description :
Les utilisateurs de Teams peuvent par inadvertance partager des informations sensibles avec des personnes non autorisées. Les politiques de prévention contre la perte de données (DLP) permettent aux agences de détecter et d'empêcher ce type de partage non autorisé.
Explication pour un Public Non-Initié :
La DLP agit comme une alarme qui empêche l’envoi accidentel d’informations sensibles, comme des numéros de carte de crédit ou des données personnelles, à des destinataires inappropriés.
MS.TEAMS.7.1v1
- Les pièces jointes incluses avec les messages Teams DOIVENT être analysées pour détecter les logiciels malveillants.
Description :
Microsoft Teams peut être utilisé comme vecteur de distribution de logiciels malveillants (malware). En scannant les pièces jointes incluses dans les messages, les administrateurs peuvent réduire les risques d'infections pour les utilisateurs finaux.
Explication pour un Public Non-Initié :
C'est comme vérifier les colis que vous recevez pour détecter des objets dangereux avant de les ouvrir. Cette analyse aide à bloquer tout logiciel malveillant qui pourrait nuire à votre ordinateur ou à vos données.
MS.TEAMS.7.2v1
- Les utilisateurs DEVRAIENT être empêchés d’ouvrir ou de télécharger des fichiers détectés comme des logiciels malveillants.
Description :
Assurer que les paramètres de partage externe pour Microsoft Teams sont conformes aux politiques organisationnelles est crucial pour prévenir les fuites de données et l'accès non autorisé à des informations sensibles.
Explication pour un Public Non-Initié :
C'est comme verrouiller vos portes pour vous assurer que seuls les amis ou collègues approuvés peuvent entrer chez vous, évitant ainsi que des inconnus accèdent à vos informations.
MS.TEAMS.8.1v1
- La comparaison d’URL avec une liste de blocage DEVRAIT être activée.
Description :
Les utilisateurs peuvent être redirigés vers des sites web malveillants via des liens partagés dans Microsoft Teams. Le blocage des URL connues pour être malveillantes aide à prévenir les accès involontaires à ces sites, renforçant ainsi la sécurité.
Explication pour un Public Non-Initié :
C’est comme si on avait une liste noire de sites web dangereux, et chaque fois qu'un lien est partagé, le système vérifie s’il figure sur cette liste avant de vous laisser y accéder.
MS.TEAMS.8.2v1
- Le suivi des clics de l’utilisateur DEVRAIT être activé.
Description :
Les utilisateurs peuvent cliquer sur des liens malveillants dans Microsoft Teams, ce qui peut entraîner une compromission de leurs comptes ou une divulgation de données sensibles. En activant le suivi des clics, les agences peuvent identifier les utilisateurs qui ont potentiellement accédé à des liens malveillants, ce qui facilite une réponse adaptée à un éventuel incident.
Explication pour un Public Non-Initié :
le suivi des clics agit comme une caméra de sécurité virtuelle : il enregistre les actions pour aider à comprendre ce qui s’est passé si un problème survient.
Lexique
Authentification héritée (Legacy Authentication)
Méthodes d'authentification utilisant des protocoles anciens tels que POP3, IMAP, SMTP, qui n'offrent pas de support pour l'authentification multifacteur.
IMAP (Internet Message Access Protocol)
Protocole utilisé par des clients de messagerie comme Mozilla Thunderbird, Outlook 2010 ou des applications mobiles anciennes pour accéder à la boîte mail. Exemple : Un employé configure son ancien smartphone Android pour synchroniser ses emails via IMAP, qui ne prend pas en charge MFA.
POP3 (Post Office Protocol v3)
Protocole permettant de télécharger les emails sur un appareil local sans les laisser sur le serveur. Exemple : Une secrétaire utilise un vieux client de messagerie sur son ordinateur qui ne supporte que POP3.
SMTP (Simple Mail Transfer Protocol)
Protocole utilisé pour envoyer des emails via des serveurs de messagerie. Exemple : Une imprimante multifonction ou un scanner envoie des emails avec des pièces jointes via SMTP.
Utilisateur à haut risque (High-risk user)
Un utilisateur est considéré comme présentant un risque élevé lorsqu'Entra ID détecte des comportements anormaux, tels qu'une connexion à partir d'un pays inhabituel ou l'utilisation d'informations d'identification compromises.
Politique basée sur le risque (Risk-based policy)
Une fonctionnalité qui utilise des signaux de risque pour ajuster les politiques d'accès, comme le blocage d'accès, l'application de l'authentification multifacteur ou l'exigence de réinitialisation du mot de passe.
Score de risque
Azure AD utilise des algorithmes pour attribuer un score basé sur des comportements détectés, comme des tentatives de connexion multiples échouées ou provenant d'une adresse IP suspecte.
Notifications d'alerte
Messages automatiques envoyés par le système aux administrateurs pour signaler des événements ou des anomalies critiques.
SIEM (Security Information and Event Management)
Outil centralisé pour collecter, analyser et surveiller les événements de sécurité.
Microsoft Sentinel
Solution de gestion des informations et événements de sécurité (SIEM) native pour le cloud, proposée par Microsoft.
Connexion à haut risque (High-risk sign-in)
Une tentative de connexion identifiée par Azure AD comme potentiellement dangereuse en raison de comportements suspects (par exemple, adresse IP connue pour des activités malveillantes ou connexion depuis un nouveau pays).
Password spraying
Technique d'attaque où un attaquant essaie un mot de passe commun (par ex. : "password123") sur plusieurs comptes.
Credential stuffing
Utilisation d’identifiants volés provenant de bases de données compromises pour tenter d’accéder à des comptes.
Impossible travel
Détection d’une connexion simultanée depuis deux lieux géographiquement incompatibles dans un court laps de temps.
MFA résistante au phishing
Méthodes d'authentification multifacteur qui utilisent des protocoles sécurisés, comme FIDO2, pour empêcher les attaquants de détourner les identifiants. Ces méthodes ne reposent pas sur des codes statiques qui peuvent être interceptés.
FIDO2
Protocole d’authentification sans mot de passe utilisant des clés physiques ou biométriques pour une sécurité renforcée.
Windows Hello for Business
Solution d'authentification native pour Windows qui utilise la reconnaissance biométrique ou un code PIN stocké de manière sécurisée.
Phishing
Technique de cyberattaque visant à obtenir des informations sensibles en envoyant des emails frauduleux se faisant passer pour des entités légitimes.
Authentification multifacteur (MFA)
Une méthode de sécurité combinant deux ou plusieurs facteurs pour vérifier l’identité d’un utilisateur (par exemple, un mot de passe + un code d’application).
Accès conditionnel
Fonctionnalité d’Azure AD permettant de définir des règles pour restreindre l’accès en fonction de critères spécifiques, comme l’emplacement ou l’appareil utilisé.
Informations contextuelles
Des détails affichés dans Microsoft Authenticator pour aider l'utilisateur à évaluer si une tentative MFA est légitime, comme le nom de l'application demandant l'accès ou l'emplacement géographique.
Microsoft Authenticator
Une application mobile utilisée pour l'authentification multifacteur et la vérification de connexions aux services Microsoft.
Gérer la migration des méthodes d’authentification
Fonctionnalité d’Azure AD permettant de désactiver les anciennes interfaces de gestion des méthodes d’authentification et de consolider la gestion sur une page unique.
Méthodes héritées
Anciennes méthodes d’authentification, souvent moins sécurisées, qui ne prennent pas en charge les protocoles modernes comme OAuth2 ou MFA.
SSPR (Self-Service Password Reset)
Fonctionnalité permettant aux utilisateurs de réinitialiser leurs mots de passe de manière autonome via des méthodes sécurisées.
OTP (One-Time Password)
Mot de passe temporaire, souvent envoyé par SMS ou email, utilisé pour l’authentification.
SIM Swapping
Attaque où un attaquant transfère un numéro de téléphone vers une carte SIM qu’il contrôle pour intercepter les SMS.
Rôles hautement privilégiés
Rôles offrant des permissions critiques pour gérer des fonctions sensibles comme la sécurité, la gestion des appareils ou la messagerie.
Politique de secours
Configuration additionnelle garantissant la sécurité des comptes critiques, même en cas de dysfonctionnement d’une politique globale.
Appareil géré
Un appareil enregistré et supervisé par une solution de gestion comme Microsoft Intune, qui applique des règles de sécurité pour garantir sa conformité.
Azure AD Join / Hybrid Azure AD Join
Méthodes permettant de connecter des appareils directement à Azure AD ou de synchroniser des appareils Windows locaux avec Azure AD.
Enregistrement MFA
Processus permettant à un utilisateur d’associer une méthode d’authentification multifacteur, comme une clé de sécurité ou une application d'authentification, à son compte.
Workspace Sentinel
Solution native à Azure pour la gestion centralisée des journaux et la détection des menaces.
SOC (Security Operations Center)
Équipe ou infrastructure dédiée à la surveillance et à la réponse aux incidents de sécurité.
Enregistrement des applications
Processus permettant à un utilisateur ou une entité de créer une application dans Azure AD qui peut accéder aux ressources du locataire.
Permissions d’application
Autorisations qu’une application peut demander pour accéder aux données ou services dans le locataire Azure AD.
Consentement des utilisateurs
Processus permettant à un utilisateur d’autoriser une application à accéder à des données ou services dans Azure AD.
Attaques par consentement malveillant
Stratégie utilisée par des applications malveillantes pour obtenir des autorisations sous un prétexte légitime afin d'exploiter ces accès à des fins nuisibles.
Administrateur des applications
Rôle dans Azure AD responsable de gérer les autorisations des applications et d’approuver ou refuser les demandes de consentement.
Workflow de consentement administrateur
Processus structuré permettant aux utilisateurs de demander des autorisations d’application, avec une validation effectuée par les administrateurs.
Applications d’entreprise
Applications intégrées ou tierces qui interagissent avec le locataire Azure AD et nécessitent des autorisations pour fonctionner.
Autorisation excessive
Situation où une application demande des accès à des données ou services qui ne sont pas nécessaires à son bon fonctionnement.
Propriétaires de groupe
Utilisateurs responsables de la gestion d’un groupe ou d’une équipe dans Microsoft 365, notamment pour les membres et les configurations associées.
Consentement aux applications
Processus où un utilisateur ou un propriétaire de groupe autorise une application à accéder à des données ou services.
Applications malveillantes
Logiciels conçus pour exploiter des permissions excessives afin de voler des données ou de compromettre un système.
Expiration des mots de passe
Politique obligeant les utilisateurs à changer leur mot de passe après une période donnée, désormais déconseillée par le NIST.
Gestionnaires de mots de passe
Outils permettant de stocker et gérer des mots de passe de manière sécurisée.
Administrateur général (Global Administrator)
Rôle offrant un contrôle total sur le tenant Azure AD et ses ressources, ce qui en fait une cible de choix pour les attaquants.
PIM (Privileged Identity Management)
Fonctionnalité d’Azure AD utilisée pour gérer l’accès temporaire aux rôles privilégiés, avec des politiques de contrôle et de surveillance.
Comptes d'accès d'urgence
Comptes administratifs de secours, utilisés en cas de défaillance ou de verrouillage des autres comptes d'administrateur général.
Principe du moindre privilège
Concept de sécurité consistant à fournir à un utilisateur ou un système le minimum d'accès nécessaire pour accomplir ses tâches.
Compte cloud uniquement
Compte créé directement dans Azure AD, sans dépendance d’un Active Directory local ou d’un fournisseur d’identité tiers.
Infrastructure de fédération
Mécanisme permettant d’utiliser une identité unique pour accéder à plusieurs systèmes, y compris le cloud, comme Active Directory Federation Services (ADFS).
Azure AD Connect
Outil permettant de synchroniser les identités locales avec Azure AD pour une gestion centralisée.
Just-In-Time Access (Accès juste-à-temps)
Méthode permettant de provisionner un accès temporaire aux ressources ou rôles privilégiés uniquement en cas de besoin.
Rôles éligibles vs actifs
Les rôles éligibles nécessitent une activation manuelle et une approbation avant utilisation, tandis que les rôles actifs sont disponibles en permanence.
PAM (Privileged Access Management)
Système conçu pour gérer les accès privilégiés, intégrant des fonctions d'audit, de contrôle, et de gestion des sessions d'accès.
Auditabilité
Aptitude à suivre et enregistrer toutes les actions liées à l’attribution ou l’utilisation des rôles privilégiés.
Approvisionnement éligible
Mécanisme où les utilisateurs ayant des rôles éligibles doivent activer leurs privilèges temporairement pour accomplir des tâches spécifiques.
Journalisation et alertes
Outils permettant de surveiller, enregistrer et signaler les activations de rôle et les activités connexes pour renforcer la sécurité.
Rôle éligible
Rôle nécessitant une activation manuelle pour devenir actif, généralement utilisé avec Azure AD PIM.
Alertes basées sur les journaux
Notifications générées automatiquement lorsqu’un événement spécifique est détecté dans les journaux Azure AD.
Alertes corrélées
Technique consistant à regrouper et analyser plusieurs événements pour identifier des incidents de sécurité pertinents.
Collaboration externe
Fonctionnalité d’Azure AD permettant à des utilisateurs externes de collaborer avec les ressources de l'organisation.
Annuaire Azure AD
Base de données contenant des informations sur les utilisateurs, groupes et appareils d’une organisation.
Politique d’accès conditionnel
Ensemble de règles permettant de contrôler l’accès des utilisateurs et des appareils aux ressources en fonction de critères spécifiques.
Comptes invités
Comptes créés pour des utilisateurs externes ayant accès à certaines ressources spécifiques du tenant.
Workflow d'approbation
Processus permettant de valider manuellement ou automatiquement les demandes d’accès avant d’accorder les autorisations nécessaires.
Tenant Azure AD
Espace dédié au sein d'Azure AD où sont gérées les données et configurations de l'organisation.
Domaines approuvés
Liste de domaines externes explicitement autorisés pour la collaboration.
Politiques Prédéfinies
Règles de sécurité prêtes à l’emploi créées par Microsoft pour détecter et bloquer les menaces courantes.
Microsoft Defender
Solution de sécurité intégrée dans l’écosystème Microsoft pour protéger les emails, les fichiers et les activités en ligne.
EOP (Exchange Online Protection)
Service de filtrage des emails qui bloque les spams, les malwares et les pièces jointes malveillantes avant qu’ils n’atteignent les utilisateurs.
Stratégies Prédéfinies
Configurations de sécurité par défaut appliquées automatiquement pour renforcer la protection des emails.
Defender pour Office 365
Solution de sécurité qui protège les emails et fichiers contre les menaces comme les liens malveillants et les pièces jointes infectées.
Safe Attachments
Fonctionnalité qui analyse les pièces jointes pour identifier et bloquer les malwares avant leur ouverture.
Safe Links
Fonctionnalité qui vérifie les liens contenus dans les emails pour éviter qu’ils redirigent vers des sites web dangereux.
Comptes sensibles
Comptes avec des autorisations élevées ou contenant des informations essentielles pour l’entreprise, les rendant vulnérables aux cyberattaques.
Politique prédéfinie stricte
Configuration de sécurité avancée offrant un niveau de protection supérieur contre les menaces.
Usurpation d’identité
Tentative d’un attaquant de se faire passer pour un utilisateur légitime pour accéder à des ressources ou tromper des individus.
Protection contre l’usurpation
Fonctionnalité qui identifie et bloque les tentatives d’imitation, qu’elles concernent un utilisateur ou un domaine.
Usurpation de domaine
Technique où des attaquants créent des domaines qui ressemblent à ceux d’une organisation (par exemple, "micr0soft.com" au lieu de "microsoft.com") pour tromper les utilisateurs.
Protection contre l’usurpation de domaine
Outil conçu pour détecter et bloquer les tentatives d’imitation de domaines.
Usurpation de domaine de partenaires
Technique consistant à imiter les noms de domaine de partenaires stratégiques pour mener des attaques.
Domaines partenaires importants
Noms de domaine appartenant à des organisations partenaires ayant une relation critique avec l’entreprise.
Pièces jointes sécurisées
Fonctionnalité de sécurité qui analyse les fichiers pour identifier et éliminer les menaces avant leur ouverture.
SharePoint, OneDrive, Microsoft Teams
Plateformes de collaboration et de partage de fichiers de Microsoft.
Menaces potentielles
Virus, malwares ou tout autre code nuisible contenu dans des fichiers.
DLP (Data Loss Prevention)
Technologie qui surveille et restreint le partage de données sensibles pour prévenir les fuites d'informations. Outil pour surveiller et bloquer le partage inapproprié d'informations sensibles.
PII (Personally Identifiable Information)
Informations qui peuvent identifier une personne, telles que les numéros de sécurité sociale ou de carte de crédit.
Services M365
Applications de la suite Microsoft telles qu'Exchange (email), OneDrive (stockage cloud), SharePoint (collaboration), Teams chat (messagerie) et les appareils connectés.
Emplacements affectés
Canaux ou services où des données peuvent être partagées ou transférées.
Blocage
Empêcher un utilisateur de partager des informations sensibles avec des destinataires non appropriés.
Informations Sensibles
Données telles que les numéros de sécurité sociale, informations financières ou données médicales.
Notifications Utilisateur
Messages envoyés aux employés lorsqu'une règle de sécurité est violée, expliquant comment corriger leur action.
Applications Non Conformes
Programmes identifiés comme potentiellement risqués ou non conformes aux règles de sécurité de l’entreprise.
Applications Restreintes
Applications identifiées comme non autorisées à accéder à des données sensibles en raison de leurs comportements ou usages potentiellement risqués.
Applications Bluetooth Indésirables
Logiciels qui utilisent la connectivité Bluetooth pour transmettre ou partager des données sans contrôle adéquat.
Événements Malveillants
Activités suspectes qui pourraient compromettre la sécurité ou perturber les services.
CISA (Cybersecurity and Infrastructure Security Agency)
Agence qui fournit des recommandations pour renforcer la cybersécurité.
Alertes
Notifications envoyées aux administrateurs lorsqu’un événement critique ou anormal est détecté.
SIEM (Security Information and Event Management)
Outil centralisé pour collecter, analyser et surveiller les événements de sécurité.
Adresse Email Surveillée
Boîte email dédiée, régulièrement consultée, pour recevoir des alertes de sécurité.
Microsoft Purview Audit (Standard)
Fonctionnalité qui enregistre les activités des utilisateurs et des administrateurs sur la plateforme Microsoft 365.
Journalisation Unifiée
Un registre centralisé qui consigne toutes les activités importantes sur Microsoft 365.
Microsoft Purview Audit (Premium)
Fonctionnalité avancée de Microsoft 365 permettant de suivre des événements détaillés pour une meilleure analyse des activités utilisateur.
Journalisation Avancée
Inclut des types d’év�énements supplémentaires pour des cas d’utilisation plus complexes, comme le suivi des partages de documents sensibles.
Rétention des journaux
Durée pendant laquelle les enregistrements des événements sont conservés pour référence future.
Redirection automatique
Fonction qui permet à un compte email de transférer automatiquement tous ses messages reçus vers une autre adresse.
Domaines externes
Adresses email ou services situés en dehors de l'organisation.
Microsoft Exchange Online
Service de messagerie électronique basé sur le cloud fourni par Microsoft.
SPF (Sender Policy Framework)
Mécanisme de sécurité qui vérifie que les emails envoyés depuis un domaine proviennent de serveurs autorisés.
Adresses IP approuvées
Liste des serveurs autorisés à envoyer des emails pour le domaine spécifié.
Email spoofing
Technique utilisée par les attaquants pour envoyer des emails avec une adresse d’expéditeur falsifiée.
Champ "FROM"
Partie de l’email qui indique l’adresse de l’expéditeur, souvent ciblée par les hackers pour simuler une légitimité.
DKIM (DomainKeys Identified Mail)
Protocole d’authentification des emails qui utilise une signature cryptographique pour garantir l’intégrité des emails envoyés par un domaine spécifique.
DMARC (Domain-Based Message Authentication, Reporting, and Conformance)
Protocole d'authentification des emails qui travaille en conjonction avec SPF et DKIM pour protéger contre l’usurpation d’identité.
Domaine de deuxième niveau
Partie principale d’un domaine, par exemple, "entreprise.com".
p=reject
Directive DMARC indiquant que tout email échouant aux contrôles d’authentification doit être rejeté.
PII (Personally Identifiable Information)
Informations qui peuvent identifier une personne, telles que les numéros de sécurité sociale ou de carte de crédit.
Services M365
Applications de la suite Microsoft telles qu'Exchange (email), OneDrive (stockage cloud), SharePoint (collaboration), Teams chat (messagerie) et les appareils connectés.
Emplacements affectés
Canaux ou services où des données peuvent être partagées ou transférées.
Informations Sensibles
Données telles que les numéros de sécurité sociale, informations financières ou données médicales. Données confidentielles comme les numéros de carte de crédit, les identifiants personnels ou d'autres informations commerciales ou légales.
Notifications Utilisateur
Messages envoyés aux employés lorsqu'une règle de sécurité est violée, expliquant comment corriger leur action.
Applications Non Conformes
Programmes identifiés comme potentiellement risqués ou non conformes aux règles de sécurité de l’entreprise.
Applications Restreintes
Applications identifiées comme non autorisées à accéder à des données sensibles en raison de leurs comportements ou usages potentiellement risqués.
Applications Bluetooth Indésirables
Logiciels qui utilisent la connectivité Bluetooth pour transmettre ou partager des données sans contrôle adéquat.
Événements Malveillants
Activités suspectes qui pourraient compromettre la sécurité ou perturber les services.
CISA (Cybersecurity and Infrastructure Security Agency)
Agence qui fournit des recommandations pour renforcer la cybersécurité. Agence américaine chargée de la cybersécurité, recevant des rapports DMARC pour améliorer la visibilité sur les attaques.
Alertes
Notifications envoyées aux administrateurs lorsqu’un événement critique ou anormal est détecté.
SIEM (Security Information and Event Management)
Outil centralisé pour collecter, analyser et surveiller les événements de sécurité.
Adresse Email Surveillée
Boîte email dédiée, régulièrement consultée, pour recevoir des alertes de sécurité.
Microsoft Purview Audit (Standard)
Fonctionnalité qui enregistre les activités des utilisateurs et des administrateurs sur la plateforme Microsoft 365.
Journalisation Unifiée
Un registre centralisé qui consigne toutes les activités importantes sur Microsoft 365.
Microsoft Purview Audit (Premium)
Fonctionnalité avancée de Microsoft 365 permettant de suivre des événements détaillés pour une meilleure analyse des activités utilisateur.
Journalisation Avancée
Inclut des types d’événements supplémentaires pour des cas d’utilisation plus complexes, comme le suivi des partages de documents sensibles.
Journaux d’audit
Enregistrements détaillés des actions effectuées par les utilisateurs ou systèmes dans l’environnement. Enregistrement détaillé des actions effectuées par les utilisateurs ou administrateurs dans une boîte aux lettres, telles que la consultation, la suppression ou la modification des emails.
Rétention des journaux
Durée pendant laquelle les enregistrements des événements sont conservés pour référence future.
Redirection automatique
Fonction qui permet à un compte email de transférer automatiquement tous ses messages reçus vers une autre adresse.
Domaines externes
Adresses email ou services situés en dehors de l'organisation.
SPF (Sender Policy Framework)
Mécanisme de sécurité qui vérifie que les emails envoyés depuis un domaine proviennent de serveurs autorisés.
Adresses IP approuvées
Liste des serveurs autorisés à envoyer des emails pour le domaine spécifié.
Email spoofing
Technique utilisée par les attaquants pour envoyer des emails avec une adresse d’expéditeur falsifiée.
Champ "FROM"
Partie de l’email qui indique l’adresse de l’expéditeur, souvent ciblée par les hackers pour simuler une légitimité.
DKIM (DomainKeys Identified Mail)
Protocole d’authentification des emails qui utilise une signature cryptographique pour garantir l’intégrité des emails envoyés par un domaine spécifique.
DMARC (Domain-Based Message Authentication, Reporting, and Conformance)
Protocole d'authentification des emails qui travaille en conjonction avec SPF et DKIM pour protéger contre l’usurpation d’identité. Protocole permettant aux propriétaires de domaines de recevoir des rapports sur les tentatives d'usurpation d'identité via email. Protocole qui aide à protéger les domaines de l'usurpation en fournissant des moyens de valider l'origine des emails.
Domaine de deuxième niveau
Partie principale d’un domaine, par exemple, "entreprise.com".
p=reject
Directive DMARC indiquant que tout email échouant aux contrôles d’authentification doit être rejeté.
Rapports Agrégés DMARC
Données collectées sur les emails envoyés, indiquant s'ils ont passé les contrôles SPF et DKIM. Informations générales sur les emails envoyés depuis le domaine, leur conformité avec les politiques SPF et DKIM.
Rapports d’Échec DMARC
Détails spécifiques des emails qui ont échoué aux contrôles SPF ou DKIM, aidant à identifier les abus ou les erreurs de configuration.
Point de Contact
Adresse email ou autre canal désigné pour recevoir ces rapports.
SMTP AUTH (Simple Mail Transfer Protocol Authentication)
Une méthode d’authentification utilisée avec le protocole SMTP pour envoyer des emails. Elle est dépassée et moins sécurisée.
Principe de Moindre Fonctionnalité
Concept de cybersécurité qui consiste à limiter les fonctionnalit�és disponibles pour réduire les risques d’exploitation.
Clients de Messagerie Modernes
Applications de messagerie récentes, comme Outlook ou les applications mobiles, qui utilisent des protocoles plus sécurisés comme OAuth2.
Dossiers de Contacts
Contiennent des informations sur les utilisateurs ou partenaires, comme les emails, numéros de téléphone, ou adresses.
Partage avec Tous les Domaines
Permet à tout utilisateur externe d’accéder aux informations des contacts. Configuration permettant aux utilisateurs externes d'accéder aux détails de calendrier sans restriction.
Exfiltration de Données
Vol ou extraction non autorisée d’informations sensibles vers un autre environnement. Vol ou extraction non autorisée d'informations sensibles vers des entités externes.
Avertissements d’Expéditeur Externe
Notifications dans les emails signalant qu’un message provient de l’extérieur de l’organisation, souvent marqués par un bandeau ou une mention spéciale.
Expéditeur Interne
Adresse email appartenant à l’organisation, souvent utilisée comme leurre dans les attaques de phishing.
Solution DLP Native Microsoft
Outil intégré à l’écosystème Microsoft, conçu pour détecter et sécuriser les données sensibles de manière intuitive et centralisée.
TIN (Taxpayer Identification Number)
Numéro utilisé pour identifier un contribuable à des fins fiscales.
SSN (Social Security Number)
Numéro de sécurité sociale aux États-Unis, utilisé pour identifier les citoyens.
Click-to-Run Files
Fichiers exécutables souvent utilisés pour propager des logiciels malveillants via des e-mails.
Filtrage des Pièces Jointes
Processus de vérification et de blocage des fichiers joints à des e-mails en fonction de leur type (par exemple, .exe, .bat).
Microsoft Defender for Office 365
Solution de sécurité intégrée pour protéger contre les menaces avancées, incluant des fonctionnalités de filtrage des pièces jointes.
Extension de Fichier
Suffixe ajouté à un nom de fichier pour indiquer son format, comme .txt ou .exe.
Type Réel de Fichier
Format réel du fichier déterminé indépendamment de son extension visible.
Filtrage Basé sur le Type Réel
Technique consistant à examiner le contenu du fichier pour déterminer son type réel, même si l'extension est trompeuse.
Fichiers « click-to-run »
Fichiers exécutables ou scriptés (.exe, .cmd, .vbe) conçus pour exécuter automatiquement des instructions.
Liste de Fichiers Bloqués
Ensemble des extensions de fichiers identifiées comme risquées et interdites dans les emails.
Tolérance au Risque
Niveau de risque accepté par une organisation, influençant la portée de ses mesures de sécurité.
Logiciels malveillants (Malware)
Programmes conçus pour causer des dommages ou perturber un système, tels que des virus, des chevaux de Troie et des ransomwares. Programmes nuisibles conçus pour compromettre la sécurité ou causer des dommages aux systèmes informatiques.
Analyse des e-mails (Email Scanning)
Processus automatisé qui inspecte les e-mails pour détecter et éliminer les menaces potentielles.
Systèmes de Protection
Solutions de sécurité intégrées ou tierces capables d'identifier et de neutraliser les menaces détectées dans les communications électroniques.
Mise en quarantaine des e-mails
Action consistant à isoler les e-mails suspects dans un espace sécurisé où ils ne peuvent pas nuire aux utilisateurs.
Suppression automatique
Processus par lequel les e-mails malveillants sont immédiatement effacés avant d'atteindre les boîtes de réception des utilisateurs.
Signatures de logiciels malveillants
Empreintes numériques ou caractéristiques spécifiques utilisées pour identifier des fichiers ou programmes nuisibles.
Analyse rétroactive
Vérification continue des e-mails déjà livrés pour détecter des menaces découvertes après leur arrivée dans les boîtes de réception.
Malware
Tout logiciel conçu pour nuire, comme les virus, les ransomwares ou les chevaux de Troie.
Usurpation d’identité (spoofing)
Technique où l’adresse d’un expéditeur est falsifiée pour tromper le destinataire.
Contrôles de protection contre l’usurpation d’identité
Fonctions ou outils de sécurité visant à détecter et bloquer les tentatives d’usurpation d’identité.
Conseils de sécurité de l’utilisateur
Notifications ou messages destinés aux utilisateurs pour signaler des anomalies détectées dans un e-mail (exemple : «Expéditeur inconnu»).
IA (Intelligence Artificielle)
Technologies capables d'apprendre et d'analyser des comportements pour identifier automatiquement les menaces.
EOP Mailbox Intelligence
Fonctionnalité d'Exchange Online Protection qui analyse les habitudes de messagerie pour repérer des anomalies pouvant indiquer des tentatives de phishing.
IP Allow Lists
Listes d’adresses IP configurées pour contourner les contrôles de sécurité, autorisant toutes les communications sans vérification.
Filtrage Anti-Spam
Mécanisme visant à identifier et bloquer les courriels indésirables ou nuisibles. Processus permettant de bloquer ou de mettre en quarantaine les courriels non sollicités ou malveillants avant qu’ils n’atteignent la boîte de réception.
Safe List (Liste de sécurité)
Liste d'adresses IP ou de domaines considérés comme fiables, qui peuvent contourner les contrôles de sécurité.
Listes de Blocage
Listes contenant des adresses IP connues pour être malveillantes ou non fiables, destinées à empêcher la réception de leurs courriels.
Compromission de Compte
Lorsque les identifiants d’un utilisateur sont volés ou exploités par un tiers pour des activités malveillantes.
Spam
Courriers électroniques non sollicités envoyés en masse, souvent dans un but publicitaire ou malveillant.
Filtre Anti-Spam
Solution permettant d’identifier et de bloquer les emails non désirés ou malveillants avant qu’ils n’atteignent les utilisateurs.
Dossier des Courriers Indésirables
Emplacement dans la boîte aux lettres où les spams identifiés sont déplacés pour éviter qu’ils ne saturent la boîte de réception.
Quarantaine
Solution plus restrictive où les spams sont isolés, nécessitant une action manuelle pour être restaurés ou supprimés.
Domaines Autorisés
Domaines spécifiquement ajoutés à une liste blanche, permettant à leurs emails de contourner les filtres antispam.
Faux Positifs
Emails légitimes identifiés à tort comme du spam par des protections automatisées.
Stratégies Antispam
Règles appliquées pour détecter et bloquer les emails non désirés ou potentiellement dangereux.
URL (Uniform Resource Locator)
Adresse permettant d'accéder à une ressource sur Internet, comme une page web.
Link Protection
Fonctionnalité qui analyse les liens dans les e-mails pour détecter et bloquer les URLs potentiellement nuisibles avant que les utilisateurs ne puissent y accéder.
Téléchargement Direct
Lien qui pointe directement vers un fichier à télécharger sans étape intermédiaire.
Analyse en Temps Réel
Processus d'inspection immédiate des liens pour vérifier s'ils pointent vers des logiciels malveillants ou des contenus dangereux.
Suivi des clics
Fonctionnalité permettant de consigner les clics des utilisateurs sur les liens présents dans les e-mails.
Lien malveillant
URL intégrée dans un e-mail qui redirige vers un contenu nuisible ou une tentative de phishing.
Réponse à incident
Processus d’analyse et de résolution après la détection d’un incident de sécurité, tel qu'un clic sur un lien malveillant.
Modèles suspects d’envoi d’e-mails
Détection de schémas d’envoi atypiques pouvant indiquer une compromission ou un abus.
Connecteur
Composant permettant d’envoyer ou de recevoir des emails via des services tiers ou des systèmes externes.
Transfert d’e-mails suspect
Identification de redirections d’emails non autorisées ou inhabituelles.
URL malveillantes
Liens identifiés comme nuisibles ou associés à des attaques phishing ou à des malwares.
Adresse surveillée
Une boîte mail spécifiquement dédiée et surveillée pour la réception d’alertes critiques.
Unified Audit Logs
Journaux unifiés qui capturent des activités dans les services Microsoft Cloud pour une analyse et un suivi centralisés.
Durée de Rétention
Période pendant laquelle les journaux sont conservés, permettant leur consultation pour des enquêtes postérieures.
SharePoint
Une plateforme Microsoft utilisée pour la gestion de contenu et la collaboration, souvent intégrée dans les environnements d'entreprise.
Partage Externe
Fonction permettant aux utilisateurs de partager des documents ou des sites avec des personnes en dehors de l'organisation.
Invités Existants
Utilisateurs externes ayant déjà été ajoutés et approuvés dans le système.
OneDrive
Service de stockage en ligne de Microsoft permettant de sauvegarder et de partager des fichiers.
Domaines Approuvés
Liste des domaines externes autorisés pour le partage de contenu.
Groupes de Sécurité
Groupes d’utilisateurs avec des autorisations prédéfinies, permettant un contrôle précis sur l’accès.
Collaboration Inter-Agences
Partage d'informations entre différentes entités gouvernementales ou partenaires autorisés.
Accès des Invités
Permet aux utilisateurs externes d'accéder à un site SharePoint ou un fichier OneDrive via une invitation spécifique.
Invitation Liée à un Compte
L'accès est strictement limité au compte e-mail à qui l'invitation a été envoyée.
Gestion des Invités
Suivi et gestion des utilisateurs externes ayant accès à vos ressources.
Partage par Défaut
Les paramètres appliqués automatiquement lorsque des fichiers ou dossiers sont partagés pour la première fois.
Personnes Spécifiques
Limite l'accès aux utilisateurs explicitement ajoutés, évitant tout accès général ou public.
Étendue du Partage
Niveau d'accès autorisé par l'utilisateur, comme "Public", "Invités" ou "Collaborateurs spécifiques".
Autorisations de Partage
Niveaux d'accès accordés à un utilisateur, tels que "Modifier" ou "Afficher".
"Afficher"
Autorise uniquement la consultation, sans possibilité de modifier ou de supprimer les données.
Modification Non Autorisée
Tout changement apporté par une personne non habilitée, pouvant être intentionnel ou accidentel.
Liens "N'importe qui"
Liens permettant à tout utilisateur possédant le lien d'accéder au contenu, même sans authentification.
Expiration des Liens
Une limite de temps après laquelle le lien devient inactif.
Utilisateurs de Code de Vérification
Utilisateurs qui accèdent au contenu via un code envoyé par e-mail sans compte spécifique.
Codes de Vérification
Méthode de vérification d'identité où un utilisateur reçoit un code unique pour accéder à un fichier ou dossier partagé.
Expiration de Réauthentification
Délai après lequel un utilisateur doit demander un nouveau code pour accéder à une ressource.
Scripts Personnalisés
Code développé par les utilisateurs pour personnaliser le comportement d'une application ou d'un site.
Sites créés en libre-service
Sites que les utilisateurs peuvent générer eux-mêmes sans intervention directe de l'administrateur.
Participants externes
Personnes extérieures à l’organisation qui participent à une réunion Teams.
Demande de contrôle
Fonction permettant à un participant de prendre le contrôle d’un écran ou d’une fenêtre partagés pour interagir directement avec le contenu affiché.
Écran partagé
Contenu visible par tous les participants à une réunion, généralement présenté par l’hôte ou un autre participant.
Utilisateur anonyme
Participant à une réunion qui n’est pas authentifié ou identifié dans le système.
Appelant téléphonique
Participant rejoignant une réunion via une ligne téléphonique.
Salle d’attente (lobby)
Zone virtuelle où les participants attendent d’être admis dans une réunion.
Admission automatique
Permet l’accès direct aux réunions sans approbation préalable.
Politique globale
Règle appliquée à tous les utilisateurs d’une organisation sans exception.
Utilisateur en accès téléphonique (Dial-in)
Participant rejoignant une réunion via un appel téléphonique sans connexion au client Teams.
Admission manuelle
Processus nécessitant une action humaine pour valider et admettre les participants.
Enregistrement de réunion
Fonction permettant de capturer l'audio, la vidéo et les activités d'écran partagées pendant une réunion.
Politique de réunion globale
Paramètres appliqués à l'ensemble de l'organisation pour gérer les fonctionnalités des réunions Teams.
Exposition des informations
Risque que des données confidentielles soient accessibles ou partagées de manière inappropriée.
Événements en direct
Réunions ou webinaires à grande échelle permettant à un grand nombre de participants de regarder une diffusion.
Autorisation d'enregistrement
Contrôle permettant de décider qui peut enregistrer une session.
Accès externe
Capacité pour les utilisateurs de Teams de communiquer avec des personnes en dehors de l'organisation.
Permissions similaires
Accès par des utilisateurs disposant de droits comparables sur une plateforme externe.
Utilisateur non géré
Utilisateur externe qui n’est pas contrôlé par une organisation ou n’a pas été validé par celle-ci.
Collecte d’adresses
Technique utilisée pour récolter des informations, comme des emails, dans le but d'envoyer du spam ou de lancer des attaques ciblées.
Fuite de données
Divulgation non autorisée d’informations sensibles.
Utilisateur Skype
Personne utilisant la plateforme de communication Skype, qui peut être externe à l’organisation.
Vulnérabilités
Failles ou points faibles d’un système pouvant être exploités par des acteurs malveillants.
Sécurité des utilisateurs
Mesures visant à protéger les collaborateurs contre les menaces externes.
Teams Email Integration
Fonctionnalité permettant d’associer une adresse e-mail à un canal Microsoft Teams pour envoyer et recevoir des messages via e-mail.
Domain Microsoft
Domaine générique fourni par Microsoft et non spécifique à l’organisation (exemple : @teams.microsoft.com).
Passerelle e-mail externe
Serveurs de messagerie qui acheminent les e-mails en dehors de l’environnement sécurisé de l’organisation.
Teams Integration
Capacité de Microsoft Teams à interagir avec d'autres applications Microsoft pour augmenter les fonctionnalités.
Applications approuvées
Applications validées par l’organisation après une évaluation de leur sécurité et conformité.
Gestion des applications
Processus de contrôle et de supervision des applications autorisées dans un environnement organisationnel.
Applications tierces
Logiciels développés par des entreprises externes qui peuvent être intégrés à Microsoft Teams pour étendre ses fonctionnalités.
Vulnérabilités tierces
Failles de sécurité ou de conception présentes dans des applications développées par des entités externes à l’organisation.
Applications personnalisées
Logiciels développés sur mesure pour répondre à des besoins spécifiques de l’organisation.
Sideloading d’applications
Processus permettant d’installer des applications en dehors des canaux officiels, sans passer par une validation stricte.
Validation de sécurité
Processus consistant à analyser et approuver une application avant son utilisation pour garantir qu’elle ne présente pas de vulnérabilités.
Divulgation non autorisée
Transmission accidentelle ou intentionnelle d’informations confidentielles à des destinataires non autorisés.
Partage restreint
Mesure pour limiter la transmission d'informations sensibles à des destinataires non autorisés.
Analyse des pièces jointes
Processus de vérification des fichiers pour détecter la présence de logiciels malveillants avant leur ouverture ou leur téléchargement.
Microsoft Teams
Plateforme de collaboration et de communication intégrée à Microsoft 365.
Paramètres organisationnels
Règles définies par une organisation pour gérer les accès et garantir la sécurité des données.
Incident de sécurité
Tout événement compromettant l'intégrité, la confidentialité ou la disponibilité des données.