Évaluez le risque inhérent d'une solution
Répondez à six questions sur une application ou un processus et obtenez son risque inhérent — le risque « avant contrôles ». L'outil propose ensuite des stratégies concrètes dans Microsoft 365 pour le réduire, alignées sur le NIST. Refaites-le pour chacune de vos solutions.
Score indicatif à titre informatif ; il ne remplace pas une évaluation formelle des risques (NIST SP 800-30). Pour une analyse approfondie, faites appel à un professionnel de la sécurité.
Contrôles à mettre en place dans Microsoft 365
Pour chaque facteur noté « Élevé », voici les contrôles à déployer dans votre environnement Microsoft 365, avec la famille de contrôles NIST correspondante.
Données sensibles → étiquettes et chiffrement
Déployez les étiquettes de confidentialité et le chiffrement de Microsoft Purview (Information Protection) : classez et chiffrez automatiquement les documents et courriels sensibles, même hors de l'organisation.
NIST — Protection des systèmes et communications (SC)Exposition élevée → accès conditionnel et MFA
Activez l'authentification multifacteur et l'accès conditionnel (Microsoft Entra ID), appuyés par Microsoft Defender : l'accès dépend de l'appareil, du lieu et du risque détecté.
NIST — Contrôle d'accès (AC), Identification et authentification (IA)Volume élevé → gouvernance des accès
Mettez en place des revues d'accès et la gestion des identités privilégiées (Entra ID Access Reviews et PIM) pour appliquer le moindre privilège et retirer les accès inutiles.
NIST — Contrôle d'accès (AC)Intégrations et tiers → cloisonner les connecteurs
Appliquez des politiques DLP à la Power Platform et encadrez l'accès des invités : empêchez qu'un flux relie des données internes à un service non approuvé.
NIST — Protection (SC), Chaîne d'approvisionnement (SR)Réglementaire élevé → conformité et journaux
Utilisez Microsoft Purview (rétention, DLP, gestion de la conformité) et les journaux d'audit pour documenter, conserver et prouver le respect de vos obligations (Loi 25).
NIST — Audit et traçabilité (AU)Impact critique → continuité et reprise
Prévoyez des sauvegardes immuables, un plan de continuité et la journalisation (Purview Audit) : réduisez l'impact d'un rançongiciel ou d'une interruption et accélérez la reprise.
NIST — Continuité (CP), Réponse aux incidents (IR)Aucun facteur n'est encore noté « Élevé ». Ajustez les facteurs ci-dessus : les contrôles Microsoft 365 à mettre en place apparaîtront ici pour chaque facteur à haut risque.
Un risque inhérent élevé sur une solution clé ? On peut mettre en place les bons contrôles Microsoft 365, sans obligation.
Discutons de votre sécurité