Outil gratuit

Évaluez le risque inhérent d'une solution

Répondez à six questions sur une application ou un processus et obtenez son risque inhérent — le risque « avant contrôles ». L'outil propose ensuite des stratégies concrètes dans Microsoft 365 pour le réduire, alignées sur le NIST. Refaites-le pour chacune de vos solutions.

Score indicatif à titre informatif ; il ne remplace pas une évaluation formelle des risques (NIST SP 800-30). Pour une analyse approfondie, faites appel à un professionnel de la sécurité.

Les 6 facteurs de risque

Notez chaque facteur pour cette solution. Plus ils sont élevés, plus le risque inhérent est grand.

Risque inhérent de la solution

Contrôles à mettre en place dans Microsoft 365

Pour chaque facteur noté « Élevé », voici les contrôles à déployer dans votre environnement Microsoft 365, avec la famille de contrôles NIST correspondante.

Données sensibles → étiquettes et chiffrement

Déployez les étiquettes de confidentialité et le chiffrement de Microsoft Purview (Information Protection) : classez et chiffrez automatiquement les documents et courriels sensibles, même hors de l'organisation.

NIST — Protection des systèmes et communications (SC)

Exposition élevée → accès conditionnel et MFA

Activez l'authentification multifacteur et l'accès conditionnel (Microsoft Entra ID), appuyés par Microsoft Defender : l'accès dépend de l'appareil, du lieu et du risque détecté.

NIST — Contrôle d'accès (AC), Identification et authentification (IA)

Volume élevé → gouvernance des accès

Mettez en place des revues d'accès et la gestion des identités privilégiées (Entra ID Access Reviews et PIM) pour appliquer le moindre privilège et retirer les accès inutiles.

NIST — Contrôle d'accès (AC)

Intégrations et tiers → cloisonner les connecteurs

Appliquez des politiques DLP à la Power Platform et encadrez l'accès des invités : empêchez qu'un flux relie des données internes à un service non approuvé.

NIST — Protection (SC), Chaîne d'approvisionnement (SR)

Réglementaire élevé → conformité et journaux

Utilisez Microsoft Purview (rétention, DLP, gestion de la conformité) et les journaux d'audit pour documenter, conserver et prouver le respect de vos obligations (Loi 25).

NIST — Audit et traçabilité (AU)

Impact critique → continuité et reprise

Prévoyez des sauvegardes immuables, un plan de continuité et la journalisation (Purview Audit) : réduisez l'impact d'un rançongiciel ou d'une interruption et accélérez la reprise.

NIST — Continuité (CP), Réponse aux incidents (IR)

Aucun facteur n'est encore noté « Élevé ». Ajustez les facteurs ci-dessus : les contrôles Microsoft 365 à mettre en place apparaîtront ici pour chaque facteur à haut risque.

Un risque inhérent élevé sur une solution clé ? On peut mettre en place les bons contrôles Microsoft 365, sans obligation.

Discutons de votre sécurité