The Doppler Quarterly (FRANÇAIS) Hiver 2018 | Page 14

surer la cohérence des meilleures pratiques et des contrôles de sécurité entre
les différents fournisseurs de cloud. De nombreuses entreprises poursuivent
des stratégies multi-cloud. Dans ces conditions, l’idée d’avoir des politiques et
des contrôles de sécurité de base qui diffèrent entre les fournisseurs de cloud
est gênante. Les risques pour la sécurité dans ces déploiements clouds multi-
ples sont mieux maîtrisés lorsque les organisations mettent en place un ensem-
ble cohérent de bonnes pratiques et de contrôles de sécurité qui couvrent l’en-
semble des fournisseurs.
Une autre raison ayant motivé la référence à AWS foundations Benchmark est
que cette solution propose des procédures d’audit détaillées étape par étape de
l’ensemble des règles de sécurité, une approche que nous avons choisi de priv-
ilégier. Pour chaque règle incluse dans CTP Azure Foundations Benchmark,
nous avons défi ni les sections suivantes :
• Description : le « quoi » de la règle de sécurité
• Justifi cation : le « pourquoi » de la règle de sécurité
• Audit : le « comment » de la règle de sécurité, avec un guide étape par
étape décrivant comment les professionnels de l’audit et de la sécurité
peuvent valider la règle
• Remédiation : étapes de remédiation manuelle au cas par cas
• Mappage et références : mise en correspondance de la règle avec les CIS
Top 20 Security Controls et la documentation de Microsoft.
Le banc d’essai CTP Azure Foundations Benchmark comporte le même nombre
de règles que CIS AWS Foundations Benchmark et, de même, quatre sections :
Gestion des identités et des accès, Surveillance, Journalisation et Réseau. Les
services et les domaines couverts par le dispositif CTP Azure Foundations
Benchmark sont des services Azure analogues à ceux couverts par CIS AWS
Foundations Benchmark, à savoir :
12 | THE DOPPLER | HIVER 2018