{"id":1768,"date":"2017-03-07T00:06:31","date_gmt":"2017-03-06T22:06:31","guid":{"rendered":"http:\/\/www.identitycosmos.com\/?p=1768"},"modified":"2017-03-07T00:06:31","modified_gmt":"2017-03-06T22:06:31","slug":"comment-microsoft-peut-il-vous-accompagner-dans-votre-demarche-de-certification-ou-conformite","status":"publish","type":"post","link":"https:\/\/identitycosmos.com\/index.php\/2017\/03\/07\/comment-microsoft-peut-il-vous-accompagner-dans-votre-demarche-de-certification-ou-conformite\/","title":{"rendered":"Comment Microsoft peut il vous accompagner dans votre d\u00e9marche de certification ou conformit\u00e9 ?"},"content":{"rendered":"

\"\"<\/a>Travaillant actuellement pour une grande organisation\u00a0internationale d\u00e9sireuse de diff\u00e9rentes certifications afin d’atteindre certains principes de conformit\u00e9, je me suis trouv\u00e9 pris \u00e0 parti lors du dernier comit\u00e9 de pilotage. Lors d’une r\u00e9union garnie de chefs \u00e0 plumes, le CISO du client, du haut de son pi\u00e9destal, de ses certitudes et de son Anglais parfait d’Oxford m’a demand\u00e9 comment les technologies Microsoft pouvaient aider son organisation dans cette d\u00e9marche… La question ne m’avait jamais \u00e9t\u00e9 pos\u00e9e sous cette angle… Bon il faut dire que le personnage n’avait pas l’air super fan des technologies Microsoft, cela sentait le pi\u00e8ge… son \u0153il malicieux \u00e9tait vif et brillant…<\/p>\n

J’ai travaill\u00e9 sur de nombreux projets PCI-DSS, des projets ISO, etc… souvent les solutions impl\u00e9ment\u00e9es en r\u00e9ponse \u00e0 ces demandes \u00e9taient r\u00e9alis\u00e9es via un ensemble de technologies diff\u00e9rentes: Active Directory, Centrify, principes de moindre privil\u00e8ge, FreeBSD, syst\u00e8me d’audit et de tableaux de bord, FIM\/MIM, m\u00e9thodologie BPM, scripts, utilisation de cartes \u00e0 puce, etc. Jamais un RSSI ne m’avait “attaqu\u00e9” sous l’angle “moqueur” du tout Microsoft…<\/p>\n

Suite \u00e0 sa demande et \u00e0 quelques recherches, je suis tomb\u00e9 sur un site web de Microsoft vraiment int\u00e9ressant proposant une source d’information quasi exhaustive sur le “comment Microsoft me permet d’avancer dans mon projet de Compliance”:\u00a0https:\/\/www.microsoft.com\/en-us\/trustcenter\/compliance\/complianceofferings<\/a><\/p>\n

Tout n’est pas parfait, mais ce site a le m\u00e9rite d\u2019exister. Il permet en effet de s\u00e9lectionner les diff\u00e9rents type de certification par type ou par r\u00e9gion du monde:<\/p>\n

\"\"<\/a><\/p>\n

Apr\u00e8s une br\u00e8ve description de la certification, exemple ici avec ISO27001:<\/p>\n

\"\"<\/a><\/p>\n

Le site permet d’obtenir tout d’abord des informations concernant les certifications\u00a0obtenues par les produits ou services Microsoft dans le domaine consid\u00e9r\u00e9:<\/p>\n

\"\"<\/a><\/p>\n

Puis de consulter de nombreuses sources additionnelles:<\/p>\n

\"\"<\/a><\/p>\n

Bien \u00e9videment, en fonction de la certification, les donn\u00e9es propos\u00e9es et la structure de pr\u00e9sentations diff\u00e8rent quelque peu.<\/p>\n

Pour ceux qui recherchent sur la certification PCI-DSS, notamment dans le cadre de l’utilisation des services Azure, Microsoft met \u00e0 disposition un fichier Excel<\/a> vous permettant de d\u00e9finir, en fonction des objectifs PCI-DSS, quels sont les \u00e9l\u00e9ments sous la responsabilit\u00e9 de Microsoft et quels sont les \u00e9l\u00e9ments sous votre responsabilit\u00e9. Tr\u00e8s utile pour structurer son approche conjointe Cloud + PCI-DSS:<\/p>\n

\"\"<\/a><\/p>\n

Je vous rappelle \u00e9galement l’existence d’un outil souvent m\u00e9connu de Microsoft, Security Compliance Manager (SCM), qui est une boite \u00e0 outils extraordinaire pour ce type de projet – de plus l’outil est totalement gratuit et peut fournir des mod\u00e8les pr\u00eats \u00e0 l’emploi \u00e0 utiliser via les GPOs, DSC ou SCCM afin d’appliquer des mod\u00e8les de “compliance” sur les workstations ou les serveurs. Une nouvelle version de SCM prend\u00a0d\u2019ailleurs en compte Windows Server 2016 et Windows 10: https:\/\/technet.microsoft.com\/fr-fr\/solutionaccelerators\/cc835245.aspx<\/a><\/p>\n

\"\"<\/a><\/p>\n

Bref, une mine d’or pour ceux qui travaillent sur des projet de certification et de conformit\u00e9.<\/p>\n

Et bien oui, Microsoft pouvait bel et bien aider mon RSSI\u00a0imbus de lui m\u00eame…<\/p>\n

En pi\u00e8ce jointe de cet article, en bonus, je vous ai rajout\u00e9 un document r\u00e9alis\u00e9 par McAfee sur la liste des \u00e9v\u00e9nements \u00e0 auditer au sein d’Active Directory dans le cadre d’un projet PCI-DSS. N\u00e9anmoins ce document peut s’utiliser dans d’autres projets de conformit\u00e9 ou m\u00eame dans une d\u00e9marche toute simple de s\u00e9curisation ou de r\u00e9duction de la surface d’attaque Active Directory:\u00a0wp-pci-guidance-microsoft-windows-logging<\/a><\/p>\n

Pour rappel:\u00a0https:\/\/www.microsoft.com\/en-us\/trustcenter\/compliance\/complianceofferings<\/a><\/p>\n

Bonne recherche et bonne lecture !<\/p>\n","protected":false},"excerpt":{"rendered":"

Travaillant actuellement pour une grande organisation\u00a0internationale d\u00e9sireuse de diff\u00e9rentes certifications afin d’atteindre certains principes de conformit\u00e9, je me suis trouv\u00e9 pris \u00e0 parti lors du dernier comit\u00e9 de pilotage. Lors d’une r\u00e9union garnie de chefs \u00e0 plumes, le CISO du client, du haut de son pi\u00e9destal, de ses certitudes et de son Anglais parfait d’Oxford m’a demand\u00e9 comment les technologies Microsoft pouvaient aider son organisation dans cette d\u00e9marche… La question ne m’avait jamais \u00e9t\u00e9 pos\u00e9e sous cette angle… Bon il faut dire que le personnage n’avait pas l’air super fan des technologies Microsoft, cela sentait le pi\u00e8ge… son \u0153il malicieux \u00e9tait vif et brillant…<\/p>\n

J’ai travaill\u00e9 sur de nombreux projets PCI-DSS, des projets ISO, etc… souvent les solutions impl\u00e9ment\u00e9es en r\u00e9ponse \u00e0 ces demandes \u00e9taient r\u00e9alis\u00e9es via un ensemble de technologies diff\u00e9rentes: Active Directory, Centrify, principes de moindre privil\u00e8ge, FreeBSD, syst\u00e8me d’audit et de tableaux de bord, FIM\/MIM, m\u00e9thodologie BPM, scripts, utilisation de cartes \u00e0 puce, etc. Jamais un RSSI ne m’avait “attaqu\u00e9” sous l’angle “moqueur” du tout Microsoft…<\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[38,70,71,129,183,214],"class_list":["post-1768","post","type-post","status-publish","format-standard","hentry","category-strategie","tag-azure","tag-compliance","tag-conformite","tag-iso-27001","tag-pci-dss","tag-scm"],"_links":{"self":[{"href":"https:\/\/identitycosmos.com\/index.php\/wp-json\/wp\/v2\/posts\/1768","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/identitycosmos.com\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/identitycosmos.com\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/identitycosmos.com\/index.php\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/identitycosmos.com\/index.php\/wp-json\/wp\/v2\/comments?post=1768"}],"version-history":[{"count":0,"href":"https:\/\/identitycosmos.com\/index.php\/wp-json\/wp\/v2\/posts\/1768\/revisions"}],"wp:attachment":[{"href":"https:\/\/identitycosmos.com\/index.php\/wp-json\/wp\/v2\/media?parent=1768"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/identitycosmos.com\/index.php\/wp-json\/wp\/v2\/categories?post=1768"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/identitycosmos.com\/index.php\/wp-json\/wp\/v2\/tags?post=1768"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}