Travaillant actuellement pour une grande organisation internationale désireuse de différentes certifications afin d’atteindre certains principes de conformité, je me suis trouvé pris à parti lors du dernier comité de pilotage. Lors d’une réunion garnie de chefs à plumes, le CISO du client, du haut de son piédestal, de ses certitudes et de son Anglais parfait d’Oxford m’a demandé comment les technologies Microsoft pouvaient aider son organisation dans cette démarche… La question ne m’avait jamais été posée sous cette angle… Bon il faut dire que le personnage n’avait pas l’air super fan des technologies Microsoft, cela sentait le piège… son œil malicieux était vif et brillant…
J’ai travaillé sur de nombreux projets PCI-DSS, des projets ISO, etc… souvent les solutions implémentées en réponse à ces demandes étaient réalisées via un ensemble de technologies différentes: Active Directory, Centrify, principes de moindre privilège, FreeBSD, système d’audit et de tableaux de bord, FIM/MIM, méthodologie BPM, scripts, utilisation de cartes à puce, etc. Jamais un RSSI ne m’avait « attaqué » sous l’angle « moqueur » du tout Microsoft…
Suite à sa demande et à quelques recherches, je suis tombé sur un site web de Microsoft vraiment intéressant proposant une source d’information quasi exhaustive sur le « comment Microsoft me permet d’avancer dans mon projet de Compliance »: https://www.microsoft.com/en-us/trustcenter/compliance/complianceofferings
Tout n’est pas parfait, mais ce site a le mérite d’exister. Il permet en effet de sélectionner les différents type de certification par type ou par région du monde:
Après une brève description de la certification, exemple ici avec ISO27001:
Le site permet d’obtenir tout d’abord des informations concernant les certifications obtenues par les produits ou services Microsoft dans le domaine considéré:
Puis de consulter de nombreuses sources additionnelles:
Bien évidement, en fonction de la certification, les données proposées et la structure de présentations diffèrent quelque peu.
Pour ceux qui recherchent sur la certification PCI-DSS, notamment dans le cadre de l’utilisation des services Azure, Microsoft met à disposition un fichier Excel vous permettant de définir, en fonction des objectifs PCI-DSS, quels sont les éléments sous la responsabilité de Microsoft et quels sont les éléments sous votre responsabilité. Très utile pour structurer son approche conjointe Cloud + PCI-DSS:
Je vous rappelle également l’existence d’un outil souvent méconnu de Microsoft, Security Compliance Manager (SCM), qui est une boite à outils extraordinaire pour ce type de projet – de plus l’outil est totalement gratuit et peut fournir des modèles prêts à l’emploi à utiliser via les GPOs, DSC ou SCCM afin d’appliquer des modèles de « compliance » sur les workstations ou les serveurs. Une nouvelle version de SCM prend d’ailleurs en compte Windows Server 2016 et Windows 10: https://technet.microsoft.com/fr-fr/solutionaccelerators/cc835245.aspx
Bref, une mine d’or pour ceux qui travaillent sur des projet de certification et de conformité.
Et bien oui, Microsoft pouvait bel et bien aider mon RSSI imbus de lui même…
En pièce jointe de cet article, en bonus, je vous ai rajouté un document réalisé par McAfee sur la liste des événements à auditer au sein d’Active Directory dans le cadre d’un projet PCI-DSS. Néanmoins ce document peut s’utiliser dans d’autres projets de conformité ou même dans une démarche toute simple de sécurisation ou de réduction de la surface d’attaque Active Directory: wp-pci-guidance-microsoft-windows-logging
Pour rappel: https://www.microsoft.com/en-us/trustcenter/compliance/complianceofferings
Bonne recherche et bonne lecture !