Expert Cybersécurité & IAv9.0
Logo Ayi NEDJIMI Consultants
Besoin d'un accompagnement expert ?
Devis personnalisé sous 24h — audit, conformité, incident
À la une
Air Gap OT/ICS : Mythes et Réalités 2026
Isolation réseau industriel, contournements réels, stratégies défensives
Benchmark LLM Mars 2026 — État des lieux
GPT-4o, Claude 3.7, Gemini 2.0 : comparatif sécurité & performance
 Voir tous les articles →
Tous les articles

Techniques de Hacking

31 articles
ETW Tampering : Évasion et Détection sur Windows en 2026 TPM et BitLocker : Cold Boot et Bypass Chiffrement Covert Channels Réseau : Stéganographie et Exfiltration Avancée Type Confusion V8 : Exploitation Avancée Navigateurs eBPF Offensif : Rootkits, Évasion et Détection Kernel-Level DMA Attacks : Exploitation Thunderbolt, PCIe et FireWire 2026 Type Confusion V8 : Exploitation Avancée Navigateurs Vol de Mots de Passe Chrome : DPAPI, Exploits et Outils Extraction Credentials Firefox : NSS, Key4.db et Exploits Hacking Password Managers Navigateurs : Attaques Expert EvilGinx : Phishing AiTM, Bypass MFA et Défense 2026 Persistance Windows Server 2025 : Techniques Complètes Escalade de Privilèges Windows 2025 : Scénarios Réels Buffer Overflow et Corruption Mémoire : Stack, Heap et Escalade de Privilèges Linux : Techniques Offensives et Escalade de Privilèges Windows : Du User au SYSTEM Hacking WordPress Expert : Red Team, Supply Chain et Hacking WordPress : Fondamentaux, Vulnérabilités : Guide Hacking WordPress Intermédiaire : Exploitation Avancée Infostealers : La Menace Silencieuse qui Alimente le Injection SQL Avancée : De la Détection à l'Exploitation MITRE ATT&CK : Les 10 Techniques les Plus Utilisées en OSINT et Reconnaissance Offensive : Du Renseignement Password Attacks : Cracking, Spraying et Credential Stuffing Ransomware : Anatomie d'une Attaque, Kill Chain et Reverse Engineering et Analyse de Malware : Guide Pratique Red Team vs Pentest vs Bug Bounty : Comparatif Complet Bug Bounty : Créer et Gérer un Programme de Sécurité Zero Trust Architecture : Implémentation Complète et Mouvement Latéral : Techniques d'Attaque, Détection et Attack Surface Management (ASM) : Gestion Continue de la

Attaques Active Directory

43 articles
Mouvement Latéral Windows AD 2026 : Techniques Expert Impacket : Guide complet exploitation Active Directory 2026 Pentest Active Directory : Guide Méthodologique Complet 2026 BloodHound : Cartographie des Chemins d'Attaque Active NTDS.dit : Extraction, Analyse et Protection des Secrets LAPS : Gestion Sécurisée des Mots de Passe : Guide Complet Tiering Model Active Directory : Segmentation des : Guide GPO Sécurisation Active Directory : Hardening par : Guide Forum InCyber 2026 : Securite AD en Vedette : Guide Complet Conditional Access Entra ID : Nouveautes Mars 2026 ADCS 2026 : Bilan ESC1 a ESC15 et Remediation en 2026 BloodHound 5 : Nouveaux Chemins d'Attaque Detectes Audit AD Automatise PowerShell : Scripts 2026 en 2026 NTLM Relay 2026 : Techniques et Defenses Actuelles Tiering Model AD 2026 : Adapter Face aux Menaces en 2026 Passwordless AD : Bilan des Risques et Opportunites Entra ID : Fin des Service Principals Legacy : Guide Complet BadSuccessor DMSA : Compromettre Active Directory en 2026 AD FS et SAML : Methodologie et Recommandations de Securite RBCD Abuse Active Directory | Active Directory 2026 Computer Account Takeover Active : Analyse Technique Active Directory Certificate Services : Guide Complet Forest Trust Abuse Active | Defence Active Directory ACL Abuse Active Directory | Active Directory 2026 AS-REP Roasting : Exploitation : Analyse Technique Kerberoasting : Guide Complet | Active Directory 2026 Password Filter DLL : Guide Pratique Cybersecurite Pass-the-Hash (PtH) : Comprendre, : Analyse Technique AdminSDHolder : Persistance via : Analyse Technique Pass-the-Ticket Active Directory : : Guide Complet NTFS Tampering et Anti-Forensics : Analyse Technique GPO Abuse Active Directory | Active Directory 2026 SIDHistory Injection Active Directory : Guide Complet Skeleton Key Malware Active | Active Directory 2026 Silver Ticket Active Directory : Analyse Technique DCSync Attack : Exfiltration | Active Directory 2026 DCShadow : Attaque Furtive | Active Directory 2026 Golden Ticket Attack : Guide Pratique Cybersecurite Migration MFA Entra : Revoquer les Sessions Legacy Attaques AD 2025 : Bilan et Tendances Emergentes en 2026 Entra Connect SyncJacking : Bloquer l'Attaque en 2026 CVE-2025-21293 : Escalade de Privileges AD DS en 2026 Durcissement AD : Guide des Recommandations Microsoft

Intelligence Artificielle

166 articles
Qdrant vs Milvus vs Weaviate : Bases Vectorielles pour RAG Sécurisé Jailbreak LLM : Taxonomie et Détection Automatisée Sécuriser un Pipeline RAG : Du Vector Store à l'API Exfiltration de Données via RAG : Attaques Contextuelles AI Red Team : Auditer un Modèle IA en Production 2026 Prompt Injection Avancée : Attaques et Défenses 2026 La Puce Analogique que les États-Unis ne Peuvent Arrêter Contenu IA : Outils de Detection Proactive Multimodale Prompt Injection et Attaques Multimodales : Défenses en 2026 Stocker et Interroger des Embeddings à Grande Échelle Benchmark LLM Mars 2026 : Etat des Lieux Complet en 2026 Claude Opus 4.6 : Applications en Cybersecurite en 2026 AI Worms et Propagation Autonome : Menaces Émergentes 2026 Confidential Computing et IA : Entraîner et Inférer dans IA Générative pour le Pentest Automatisé : Méthodes et IA et Gestion des Vulnérabilités : Priorisation EPSS Long Context vs RAG : Quand Utiliser 10M Tokens au Lieu Mixture of Experts (MoE) : Architecture, Sécurité et AI Model Supply Chain : Attaques sur Hugging Face et les IA et SCADA/ICS : Détection d'Anomalies sur les Protocoles Sparse Autoencoders et Interprétabilité Mécanistique IA et Zero Trust : Micro-Segmentation Dynamique Pilotée par Red Teaming IA 2026 : Tester les LLM en Entreprise MCP Model Context Protocol : Securiser les Agents en 2026 AI Act 2026 : Implications pour les Systèmes Agentiques et Context Engineering pour Agents Multimodaux : Guide Complet Défense contre les Attaques IA Générées : Stratégies Détection Proactive de Contenu Généré par IA Multimodal Embodied AI : Agents Physiques, Robotique et Sécurité en Forensic Post-Hacking : Reconstruction et IA : Guide Complet Gouvernance Globale de l'IA 2026 : Alignement International Gouvernance du Hacking IA Offensive : Cadre et Bonnes Pra... Green Computing IA 2026 : Eco-Responsabilite et Sobriete Hacking Assisté par IA : Génération de Payloads et Human-AI Collaboration 2026 : Travailler avec des Agents Intégration d'Agents IA avec les API Externes en 2026 LLMOps pour Agents Autonomes : Monitoring et CI/CD Mémoire Augmentée Agents : Vector + Graph 2026 en 2026 Détection Multimodale d’Anomalies Réseau par IA en Multimodal RAG 2026 : Texte, Image, Audio : Guide Complet PLAM : Agents IA Personnalisés Edge et Déploiement Prompt Hacking Avancé 2026 : Techniques et Défenses Prompt Injection et Attaques Multimodales : Défenses en Red Teaming Cyber-Défense Agentique : Méthodologie Responsible Agentic AI : Contrôles, Garde-Fous et 2026 Agents RAG avec Actions : Récupération et Exécution Sécurité des Agents IA en Production : Sandboxing et Shadow Agents IA : Identification et Gouvernance 2026 Traçabilité des Décisions d'Agents Autonomes : Guide Agentic AI 2026 : Autonomie en Entreprise : Guide Complet Agents IA et Raisonnement Causal pour la Décision 2026 Agents IA Edge 2026 : Privacy, Latence et Architecture PLAM Architectures Multi-Agents et Orchestration LLM en Produc... Collaboration Multi-Agents IA 2026 : Orchestration et RAG Agentique : Pipelines IA Autonomes en Entreprise IA et Analyse Juridique des Contrats Cybersécurité Apprentissage Fédéré et Privacy-Preserving ML en 2026 IA pour la Défense et le Renseignement : Cadre Éthique Données Synthétiques : Génération, Validation et 2026 DSPy et la Programmation Déclarative de LLM : Guide IA dans la Finance : Détection de Fraude Temps Réel et Gouvernance LLM et Conformite : RGPD et AI Act 2026 Playbooks de Réponse aux Incidents IA : Modèles et IA Neuromorphique : Architecture et Securite en 2026 Pydantic AI et les Frameworks d'Agents Type-Safe en 2026 Quantum Machine Learning : Risques et Opportunités pour la RAG en Production : Architecture, Scaling et Bonnes Reinforcement Learning Appliqué à la Cybersécurité AI Safety et Alignement : Du RLHF au Constitutional AI en IA dans la Santé : Sécuriser les Modèles Diagnostiques et Sécurité LLM Adversarial : Attaques, Défenses et Bonnes Speculative Decoding et Inférence Accélérée : Techniques Voice Cloning et Audio Deepfakes : Detection en 2026 IA Agentique 2026 : Risques et Gouvernance : Guide Complet Agents IA Autonomes : Architecture, Frameworks et Cas Automatiser le DevOps avec des Agents IA : Guide Complet Agents IA pour le SOC : Triage Automatisé des Alertes AI Act et LLM : Classifier vos Systèmes IA : Guide Complet AI TRiSM : Framework Gartner Appliqué : Guide Complet IA pour l’Analyse de Logs et Détection d’Anomalies en IA et Automatisation RH : Screening CV et Compliance Chatbot Entreprise avec RAG et LangChain : Guide Pas à Pas Llama 4, Mistral Large, Gemma 3 : Comparatif LLM Open Source Computer Vision en Cybersécurité : Détection et 2026 Confidentialité des Données dans les LLM : PII et DLP IA et Conformité RGPD : Données Personnelles dans les Context Window : Gérer 1 Million de Tokens en Production Coût d'Inférence des LLM : Optimiser sa Facture Cloud CrewAI, AutoGen, LangGraph : Comparatif Frameworks Data Platform IA-Ready : Architecture de Référence 2026 Data Poisoning et Model Backdoors : Supply Chain IA Deepfakes et Social Engineering IA : Détection et 2026 Deployer des LLM en Production : GPU et Optimisation Détection de Menaces par IA : SIEM Augmenté : Guide IA pour le DFIR : Accélérer les Investigations Forensiques Évaluation de LLM : Métriques, Benchmarks et Frameworks Fine-Tuning de LLM Open Source : Guide Complet LoRA et QLoRA Function Calling et Tool Use : Intégrer les API aux LLM Fuzzing Assisté par IA : Découverte de Vulnérabilités IA pour la Génération de Code : Copilot, Cursor, Claude Gouvernance IA en Entreprise : Politiques et Audit GraphRAG et Knowledge Graphs : Architecture RAG Avancée Knowledge Management avec l’IA en Entreprise : Stratégies Kubernetes pour l’IA : GPU Scheduling, Serving et 2026 LLM en Local : Ollama, LM Studio et vLLM - Comparatif 2026 LLM On-Premise vs Cloud : Souveraineté et Performance MCP (Model Context Protocol) : Connecter les LLM à vos MLOps Open Source : MLflow, Kubeflow, ZenML : Guide Complet IA Multimodale : Texte, Image et Audio : Guide Complet IA Offensive : Comment les Attaquants Utilisent les LLM Orchestration d'Agents IA : Patterns et Anti-Patterns OWASP Top 10 pour les LLM : Guide Remédiation 2026 Phishing Généré par IA : Nouvelles Menaces : Guide Prompt Engineering Avancé : Chain-of-Thought et Techniques Quantization : GPTQ, GGUF, AWQ - Quel Format Choisir RAG vs Fine-Tuning vs Prompt Engineering : Quelle Stratégie Reconnaissance Vocale et LLM : Assistant Vocal Sécurisé Red Teaming de Modèles IA : Jailbreak et Prompt Injection ROI de l'IA Générative : Mesurer l'Impact Réel en 2026 Sécuriser un Pipeline MLOps : Bonnes Pratiques et 2026 Shadow AI : Détecter et Encadrer l'Usage Non Autorisé Small Language Models : Phi-4, Gemma et IA Embarquée Threat Intelligence Augmentée par IA : Guide Complet Vector Database en Production : Scaling et HA en 2026 CNIL Autorite AI Act : Premiers Pas Reglementaires KVortex : Offloader VRAM→RAM pour LLMs vLLM et Inférence Securiser un Pipeline RAG en Production (2026) en 2026 Codex GPT-5.2 : Generation de Code Autonome Securisee Mixture of Experts : Architecture LLM de 2026 en 2026 GPT-5.2 et Agents IA : Revolution en Cybersecurite Windows Recall : Analyse Technique Complete - Fonctionnem... L'IA dans Windows 11 : Copilot, NPU et Recall - Guide Com... Deepfake-as-a-Service : La Fraude IA Industrialisee Small Language Models : Securite a la Peripherie en 2026 RAG Poisoning : Manipuler l'IA via ses Documents en 2026 Phishing IA : Quand les Defenses Traditionnelles Echouent Superintelligence : De l'ANI à l'ASI : Guide Complet La Fin des Moteurs de Recherche : Analyse Expert 2026 Embeddings et Recherche Documentaire : Guide Complet Stratégies de Découpage de | Guide IA Complet 2026 Sécurité et Confidentialité des : Analyse Technique Vecteurs en Intelligence Artificielle : Guide Complet Embeddings vs Tokens : Guide Pratique Cybersecurite Qu'est-ce qu'un Embedding en | Guide IA Complet 2026 Cas d'Usage des Bases - Guide Pratique Cybersecurite Bases Vectorielles : Définition, : Analyse Technique La Vectorisation de Données | Guide IA Complet 2026 Tendances Futures des Embeddings : Analyse Technique Optimiser le Chunking de - Guide Pratique Cybersecurite Milvus, Qdrant, Weaviate : | Guide IA Complet 2026 Glossaire IA et Cybersécurité : 100 Termes Essentiels 2026 10 Erreurs Courantes dans - Guide Pratique Cybersecurite Benchmarks de Performance : | Guide IA Complet 2026 RAG Architecture | Guide - Guide Pratique Cybersecurite Comment Choisir sa Base - Guide Pratique Cybersecurite Indexation Vectorielle : Techniques : Guide Complet Comprendre la Similarité Cosinus : Analyse Technique Comet Browser : Architecture | Guide IA Complet 2026 Développement Intelligence Artificielle | : Guide Complet Stocker et Interroger des - Guide Pratique Cybersecurite Shadow AI en Entreprise : Detecter et Encadrer en 2026 GPT-5.1 vs Claude 4.5 vs Gemini 3 : Comparatif en 2026 OpenClaw : Crise de l'Agent IA Open Source : Guide Complet Prompt Injection : 73% des Deploiements Vulnerables AI Act Aout 2025 : Premieres Sanctions Activees en 2026 OWASP Top 10 LLM 2025 : Risques et Remediations en 2026

Forensics

31 articles
Forensique Mémoire : Guide Pratique Volatility 3 en 2026 Timeline Forensique : Reconstituer Pas à Pas une : Guide Forensique Cloud : Analyser les Logs CloudTrail, Azure Forensique Microsoft 365 : Analyse du Unified Audit Log Chaîne de Preuve Numérique : Bonnes Pratiques Juridiques Exercice de Crise Cyber : Organiser un Tabletop Efficace Forensique Disque : Acquisition d'Image et Analyse avec Mobile Forensics : Extraction et Analyse iOS/Android Ransomware Forensics : Identifier la Souche : Guide Complet Forensics Linux : Artifacts et Investigation : Guide Complet MacOS Forensics : Artifacts et Persistence : Guide Complet Malware Reverse : Analyse de Cobalt Strike 5 : Guide Complet Email Forensics : Tracer les Campagnes Phishing en 2026 Timeline Analysis : Reconstruction d'Incidents en 2026 Registry Advanced : Guide Expert Analyse Technique NTFS Forensics : Methodologie et Recommandations de Securite LNK & Jump Lists : Strategies de Detection et de Remediation Windows Forensics : Guide Expert en Analyse Securite Registry Forensics : Guide Expert Analyse Securite Windows Server 2025 - Guide Pratique Cybersecurite Memory Forensics : Strategies de Detection et de Remediation ETW & WPR : Guide Complet et Bonnes Pratiques pour Experts Modèles de Rapports - Guide Pratique Cybersecurite Comparatif Outils DFIR - Guide Pratique Cybersecurite AmCache & ShimCache - Guide Pratique Cybersecurite Telemetry Forensics - Guide Pratique Cybersecurite Anti-Forensics : Methodologie et Recommandations de Securite NTFS Advanced : Methodologie et Recommandations de Securite Network Forensics : Analyse PCAP Avancee : Guide Complet DFIR Cloud : Investigation Logs AWS CloudTrail en 2026 Memory Forensics 2026 : Volatility 3 Avance : Guide Complet

Microsoft 365

24 articles
Chronologie des Attaques Active Directory : 2014-2026 Audit Avancé Microsoft 365 : Corréler Journaux et Logs Azure Automatiser l'Audit Sécurité Microsoft 365 : Guide Expert API Microsoft Graph : Audit et Monitoring M365 en 2026 Meilleures Pratiques Sécurité Microsoft 365 en 2026 PIM Entra ID : Gestion des Accès Privilégiés Just-in-Time Sécuriser Microsoft Teams : Gouvernance, DLP et Contrôle SharePoint et OneDrive : Maîtriser le Partage Externe et Microsoft Defender for Office 365 : Configuration : Guide Microsoft Secure Score : Guide d'Optimisation de votre Sécuriser Microsoft Entra ID : Conditional Access, MFA Durcissement Exchange Online : Bloquer Basic Auth et Microsoft Intune : Politiques de Conformité et : Guide Zero Trust M365 : Strategies de Detection et de Remediation API Microsoft Graph M365 - Guide Pratique Cybersecurite Microsoft 365 et Conformité - Guide Pratique Cybersecurite Audit Sécurité Microsoft 365 | Guide Microsoft 365 Audit Avancé Microsoft 365 - Guide Pratique Cybersecurite Pratiques Sécurité M365 2025 | Guide Microsoft 365 Microsoft 365 et Azure - Guide Pratique Cybersecurite Threat Hunting Microsoft 365 | Guide Microsoft 365 Top 10 Outils Analyse Securite Microsoft 365 — Guide Automatiser l'Audit de Sécurité : Analyse Technique Sécuriser les Accès Microsoft | Guide Microsoft 365

Virtualisation

25 articles
SDN Proxmox VE 9 : Zones, VNets, IPAM et Firewalls Architecture Proxmox VE 9.1 : Cluster 3 Nœuds + HA Réplication Proxmox VE : ZFS, Snapshots et Checklist Administration CLI Proxmox VE : Diagnostic Cluster Déploiement Automatisé Proxmox : Terraform et Ansible Proxmox VE 9.1 : Paramètres Avancés VM et Nested Virt Outils Proxmox VE : Monitoring, IaC et Écosystème 2026 Optimisation Proxmox VE 9 : CPU, RAM, ZFS, Ceph et HA Dimensionnement Proxmox VE 9 : CPU, RAM, Stockage, HA Proxmox VE : Cluster HA, Live Migration et Ceph 2026 Proxmox vs VMware vs Hyper-V : Comparatif Sécurité et Durcissement VMware ESXi : Guide Complet de Sécurisation ESXi Hardening : Guide Complet de Sécurisation Avancée Migration VMware vers Proxmox VE : Guide Complet : Guide Hyper-V Shielded VMs : Sécurisation Avancée du : Guide Proxmox Backup Server : Stratégie de Sauvegarde et Optimisation Proxmox - Guide Pratique Cybersecurite Évolutions Proxmox : Guide Expert Bonnes Pratiques Calculateur Sizing : Guide Expert Bonnes Pratiques NTP Proxmox : Guide Complet et Bonnes Pratiques pour Experts Dimensionnement : Strategies de Detection et de Remediation Guide Complet Proxmox - Guide Pratique Cybersecurite Migration VMware : Strategies de Detection et de Remediation Securite Proxmox VE : Guide Complet Hardening 2026 Hyper-V 2025 : Analyse Technique Approfondie et Securisation

Cybersécurité Générale

44 articles
Débuter en Pentest : Parcours et Ressources 2026 Carte des Menaces Cyber 2025-2026 : Threat Landscape 20 Erreurs Fatales en Cybersécurité : AD, Cloud et IA Certifications Cybersécurité 2026 : Guide Complet OSCP à CISSP 15 Mythes en Cybersécurité Démystifiés par un Pentester CrowdStrike vs Defender vs SentinelOne : Quel EDR en 2026 ? L'ingénierie sociale a gagné : vos firewalls ne servent plus à rien Quatre zero-days Chrome en 2026 : le navigateur est devenu la cible Zero-days exploités avant le patch : la nouvelle norme en 2026 Le délai d'exploitation se réduit à néant : ce que ça Deepfakes et Social Engineering : Menaces IA en 2026 Culture Sécurité en Entreprise : Changer les Comportements Programme Sensibilisation Cyber : Méthode et KPI 2026 Exercices Phishing Interne : Outils et Bonnes Pratiques Quand les défenseurs passent à l'attaque : leçons de Patch Tuesday ne suffit plus : repenser la gestion des Data brokers : les coffres-forts que tout le monde veut Vos outils d automatisation sont devenus des cibles Équipements en fin de vie : maillon faible sécurité quand vos défenseurs travaillent pour l adversaire Pipelines IA en production : vos agents LLM sont des cibles Time-to-exploit : quand les 0-day brûlent en quelques heures OWASP Top 10 : Guide Complet Vulnérabilités Web 2026 Nessus et Greenbone : Guide Scanners Vulnérabilités ANSSI ReCyF : NIS2 en pratique, ce qui change pour vous Pipelines IA : vos clés API sont les nouvelles clés du SI Ransomwares : Pourquoi Vos Sauvegardes Ne Sauvent Plus CI/CD : L'Angle Mort de la Sécurité DevOps en 2026 Vos Outils IA : la Nouvelle Surface d'Attaque Ignorée Ransomware Trends Q1 2026 : Analyse des Groupes en 2026 IOC Management : Automatiser la Threat Intel : Guide Complet Cyber Threat Landscape France 2026 : Bilan ANSSI en 2026 Darkweb Monitoring : Outils et Techniques 2026 en 2026 InfoStealers 2026 : Lumma, Raccoon et RedLine en 2026 Supply Chain APT : Comprendre les Attaques Etatiques Top 10 des Attaques - Guide Pratique Cybersecurite Top 10 Outils Securite Kubernetes 2025 — Guide Pratique Livre Blanc : Sécurisation | Threat Intelligence 2026 Guide Complet Sécurité Active | Guide Cyberdefense Top 5 des Outils : Strategies de Detection et de Remediation Top 10 Solutions EDR/XDR | Threat Intelligence 2026 Top 10 Outils Audit - Guide Pratique Cybersecurite Threat Hunting : Detection Proactive avec MITRE en 2026 APT29 2026 : Nouvelles TTP et Campagnes Cloud en 2026

Articles Techniques

105 articles
Retours d’Expérience Pentest : 5 Missions Terrain Anonymisées BloodHound vs SharpHound vs BloodyAD : Guide Comparatif 2026 Burp Suite vs OWASP ZAP : Quel Scanner Web Choisir en 2026 ? Nuclei vs Nessus vs Qualys : Scanners de Vulnérabilités Comparés Format String Exploitation Moderne : Du Crash au RCE en 2026 Race Conditions Kernel : Double-Fetch, TOCTOU et Exploitation BGP Hijacking et OSPF Exploitation : Attaques Routage Internet GPU Side-Channels : Attaques sur CUDA, OpenCL et WebGPU Intel ME et AMD PSP : Exploitation des Coprocesseurs Cryptanalyse Pratique : Attaques sur AES, RSA et ECC SGX, TDX et TEE : Attaques sur les Enclaves Sécurisées 2026 Hypervisor Escape : Techniques d'Évasion VMware, KVM et QEMU Linux Kernel Exploitation : Escalade de Privilèges Side-Channel Attacks : Spectre, Meltdown et Rowhammer ROP/JOP Chains : Exploitation Moderne des Binaires Protégés Heap Exploitation : Use-After-Free et Tcache Poisoning SGX, TDX et TEE : Attaques sur les Enclaves Sécurisées Hack The Box : Méthodologie pour Progresser en 2026 DVWA vs Juice Shop vs WebGoat : Comparatif Labs Web Lab Pentest Proxmox : Guide Complet d'Installation 2026 Top 5 Plateformes CTF et Entraînement Cyber en 2026 Architecture de Sécurité Matérielle Windows 11 & Server 2025 Windows Scheduler Internals : Architecture, Performance Architecture Windows Server 2025 : Noyau NT Expert Architecture Vertical Slice + Clean Lite : Guide 2026 Cryptographie Post-Quantique : Migration Pratique en 2026 Zero Trust Network : Implementation Pratique 2026 en 2026 C2 Frameworks Modernes : Mythic, Havoc, Sliver et Détection DNS Attacks : Tunneling, Hijacking et Cache Poisoning Exploitation de l’Infrastructure as Code Terraform et Exploitation des Protocoles Email : SMTP Smuggling et Att... GCP Offensive Security : Exploitation des Services Google Purple Team : Méthodologie et Exercices Collaboratifs Race Conditions et TOCTOU : Exploitation des Bugs de Windows Kernel Exploitation : Drivers, Tokens et KASLR Threat Intelligence : Automatiser la Veille Cyber en 2026 Attaques sur les Identity Providers Okta, Entra et Keycloak Attaques sur les Pipelines ML/AI et Empoisonnement de Mod... SSRF Avance : Bypass des Protections Cloud 2026 en 2026 Windows Kernel : Exploitation de Drivers Vulnerables Agents IA pour la Cyber-Défense et le Threat Hunting Cyber-Défense Agentique contre les APTs : Guide Complet Red Teaming des Agents Autonomes : Méthodologie et Shadow Hacking et Outils IA Non-Autorisés en Entreprise Container Escape : Techniques d'Évasion Docker et 2026 Exploitation Active Directory Certificate Services (ADCS) Hardware Hacking : JTAG, SWD, UART et Extraction de Firmware Post-Exploitation : Pillage, Pivoting et Persistance Sécurité Mobile Offensive : Android et iOS en 2026 Service Mesh Exploitation : Attaques sur Istio, Linkerd et SIM Swapping et Attaques Telecom : SS7, Diameter et 5G UEFI Bootkits et Attaques sur le Firmware : Persistance A... Attaques sur les Bases de Données SQL, NoSQL et GraphQL Attaques CI/CD Avancées : GitOps, ArgoCD et Flux en Attaques Serverless : Exploitation de Lambda, Azure Attaques sur les Smart Contracts et la Sécurité Web3 Attaques Wireless Avancées : Wi-Fi 7, BLE 5.4 et Zigbee Browser Exploitation Moderne : V8, Blink et les Sandbox Bypass FIDO2 et Passkeys : Attaques sur l'Authentification ICS/SCADA : Pentest d'Environnements Industriels en 2026 Supply Chain : Detecter les Dependances Malveillantes Incident Response : Playbook Ransomware 2026 : Guide Complet Reverse Engineering : Analyse de Firmware IoT en 2026 GraphQL Injection : Techniques d'Exploitation 2026 API Security : Fuzzing Avance avec Burp et Nuclei en 2026 Cloud Forensics : Investigation AWS et Azure : Guide Complet OAuth 2.1 : Nouvelles Protections et Migration en 2026 Pentest Wi-Fi 7 : Nouvelles Surfaces d'Attaque en 2026 C2 Frameworks 2026 : Mythic vs Havoc vs Sliver en 2026 DNS Tunneling Detection : Guide SOC Analyst : Guide Complet Phishing 2026 : Techniques Avancees de Spear-Phishing Web3 Security : Audit de Smart Contracts Solidity en 2026 Attaques sur CI/CD (GitHub - Guide Pratique Cybersecurite Azure AD : attaques - Guide Pratique Cybersecurite Supply-chain applicative (typosquatting, dependency Secrets sprawl : collecte - Guide Pratique Cybersecurite SSRF moderne (IMDSv2, gopher/file, : Guide Complet NTLM Relay moderne (SMB/HTTP, | Guide Technique 2026 Evasion d’EDR/XDR : techniques : Analyse Technique Phishing sans pièce jointe - Guide Pratique Cybersecurite Persistence sur macOS & - Guide Pratique Cybersecurite WebCache Deception & cache - Guide Pratique Cybersecurite Abus OAuth/OIDC : Consent - Guide Pratique Cybersecurite Sécurité des LLM et - Guide Pratique Cybersecurite Chaîne d'exploitation Kerberos en : Analyse Technique Living-off-the-Land (LOL-Bins/LOLBAS) à l’échelle en Exfiltration furtive (DNS, DoH, : Analyse Technique Kubernetes offensif (RBAC abuse, : Analyse Technique Désérialisation et gadgets en | Guide Technique 2026 Attaques sur API GraphQL - Guide Pratique Cybersecurite Escalades de privilèges AWS | Guide Technique 2026 OT/ICS : passerelles, protocoles : Analyse Technique Cloud IAM : Escalade de Privileges Multi-Cloud en 2026 AWS Lambda Security : Attaques et Defenses : Guide Complet Terraform Security : Audit et Durcissement IaC en 2026 SIEM : Correlations Avancees pour Threat Hunting en 2026 Mobile Pentest : Bypass SSL Pinning Android 15 en 2026 Container Escape 2026 : Nouvelles Techniques Docker Bug Bounty 2026 : Strategies et Plateformes : Guide Complet EDR Bypass 2026 : Techniques et Contre-Mesures en 2026 ZED de PRIM’X : Conteneurs Chiffrés et Sécurité des Malware Analysis : Sandbox Evasion Techniques en 2026 Purple Team : Exercices Pratiques AD et Cloud en 2026 OSINT 2026 : Outils et Techniques de Reconnaissance Kubernetes RBAC : 10 Erreurs de Configuration Critiques

Conformité

54 articles
SOA ISO 27001 : Statement of Applicability Complet Feuille de Route ISO 27001 : Certification en 12 Étapes Checklist Audit ISO 27001 : 93 Contrôles Annexe A 2022 Charte Informatique Entreprise : Guide et Modèle Word Analyse de Risques ISO 27005 : Méthodologie Complète PSSI ISO 27001 : Guide Rédaction et Modèle Complet Aspects Juridiques et Éthiques de l’IA : Cadre Réglementaire Classification des données : méthodes et outils pratiques Analyse d'impact AIPD : méthodologie CNIL pas à pas NIS 2 et DORA : double conformité du secteur financier Maturité cybersécurité : modèles CMMC et NIST CSF 2.0 Cartographie des risques cyber avec EBIOS RM en 2026 SMSI ISO 27001 version 2022 : guide complet pas à pas Audit de conformité RGPD : checklist complète pour DPO NIS2, DORA et RGPD : Cartographie des Exigences Croisées IEC 62443 : Cybersécurité Industrielle OT - Guide : Guide Audit de Sécurité du SI : Méthodologie Complète et PRA/PCA Cyber : Plan de Reprise et Continuité d'Activité Qualification PASSI ANSSI : Devenir Prestataire d'Audit Audit de Securite Cloud : Checklist Conformite 2026 PCI DSS 4.0.1 : Nouvelles Exigences Mars 2026 en 2026 Conformite Multi-Referentiels : Approche Unifiee 2026 NIS 2 Phase Operationnelle : Bilan 6 Mois Apres en 2026 Aspects Juridiques et Ethiques de l'IA en Entreprise ISO/IEC 42001 Foundation : Système de Management IA ISO 42001 Lead Auditor : Auditer un Systeme de Management ISO 42001 Lead Implementer : Management de l’IA et RGPD et AI Act : Guide Complet pour les Organisations en ... Développement Sécurisé ISO 27001 : Cycle S-SDLC en 6 Cyber Assurance 2026 : Exigences et Marche Durci en 2026 SOC 2 Type II : Retour d'Experience Implementation DORA 2026 : Impact sur le Secteur Financier Francais Cyber-assurance 2026 : Nouvelles Exigences et Guide Complet AI Act 2026 : Guide Conformité Systèmes IA à Haut Risque Cyber Resilience Act 2026 : Guide Anticipation Produits C... DORA 2026 : Premier Bilan et Contrôles ACPR - Guide Complet NIS 2 Phase Opérationnelle 2026 : Guide Complet de Mise RGPD 2026 : Securite des Donnees et Enforcement CNIL - Gu... HDS 2026 : Certification Hébergeur de Données de Santé - PCI DSS 4.0.1 en 2026 : Retour d'Expérience et Guide SBOM 2026 : Obligation de Sécurité et Guide Complet SecNumCloud 2026 et EUCS : Guide Complet Qualification Cryptographie Post-Quantique : Guide Complet pour les SI ... ISO 27001:2022 Guide Complet Certification Expert 2026 NIS 2 : Guide Complet de la Directive Européenne sur la SOC 2 : Guide Complet Conformite pour Organisations RGPD 2026 : Durcissement des Sanctions par la CNIL HDS 2026 : Certification Hebergement de Donnees Sante Cyber Resilience Act : Guide de Conformite Produits RGPD et IA Generative : Guide de Conformite CNIL en 2026 SecNumCloud 2026 : Migration et Certification EUCS AI Act Classification : Systemes a Haut Risque en 2026 SBOM 2026 : Obligation de Transparence Logicielle en 2026 ISO 27001:2022 vs ISO 27001:2013 : Differences Cles

SOC et Detection

25 articles
Incident Triage : Classification et Priorisation SOC 2026 Threat Hunting Proactif : Techniques et Outils SOC 2026 Sigma Rules : Standard de Détection Universel Guide Complet SOC as a Service : Externaliser la Détection Guide 2026 XDR vs SIEM vs EDR : Comprendre les Différences en 2026 Purple Team : Collaboration entre SOC et Red Team Guide Détection du Mouvement Latéral : Guide Complet SOC 2026 Triage des Alertes SOC : Méthodologie Complète pour Analyste NDR : Détection Réseau et Réponse aux Menaces Guide 2026 SIEM Cloud-Native vs On-Premise : Comparatif Complet 2026 Log Management : Architecture et Rétention SOC : Guide Use Cases SIEM : 50 Règles Détection Essentielles : Gui SOC Metrics et KPIs : Mesurer la Performance : Guide Co SOAR : Automatisation Réponse Incident Guide : Guide Co Threat Intelligence Platforms : Comparatif 2026 : Guide Microsoft Sentinel : Déploiement et Règles KQL : Guide Splunk Enterprise Security : Configuration SOC : Guide Elastic SIEM : Stack Détection Open Source 2026 : Guide SOC Moderne : Architecture et Outils Guide 2026 : Guide Analyste SOC : Niveaux, Parcours et Compétences : Guide Threat Hunting : Méthodologie, Outils et Pratique pour Detection Engineering : Construire des Règles de : Guide Detection-as-Code : Pipeline CI/CD pour Règles SIEM et Sigma Rules : Guide Complet d'Écriture et Déploiement de Wazuh SIEM/XDR Open Source : Déploiement, Configuration

Cloud Security

45 articles
Cloud Forensics Avancée Post-Compromission sur AWS Cloud Pentest : Méthodologie Complète Audit AWS et Azure Cloud Logging : Guide Centralisation et Monitoring Sécurité Cloud Network Security : Guide Complet VPC, WAF et DDoS DevSecOps Cloud : Guide Pipeline CI/CD Sécurisé Complet Cloud Disaster Recovery : Guide PRA et Résilience Cloud Cloud Compliance : Guide RGPD, HDS et SecNumCloud 2026 Cloud Forensics : Guide Investigation Incident Cloud 2026 Infrastructure as Code Security : Guide Terraform Complet Cloud Encryption : Guide Chiffrement Données et Clés KMS CASB : Guide Comparatif Cloud Access Security Broker 2026 Container Security : Docker et Runtime Protection Avancée Serverless Security : Sécuriser Lambda et Functions Cloud Multi-Cloud Security : Guide Stratégie Sécurité Unifiée Cloud IAM : Guide Gestion Identités et Accès Cloud 2026 Kubernetes Security : Guide Durcissement Cluster K8s 2026 Sécurité AWS : Guide Complet Hardening Compte et Services Azure Security Center : Guide Configuration Complète 2026 GCP Security : Bonnes Pratiques et Guide Audit Cloud 2026 CSPM : Guide Cloud Security Posture Management Complet CNAPP : Guide Protection Cloud-Native Applications 2026 ZTNA Zero Trust Network Access Cloud : Guide Complet Disaster Recovery Cloud : PRA Multi-Région en 2026 Attaques sur Metadata Services Cloud : SSRF et IMDS FinOps Sécurité : Cryptomining Ressources Fantômes Secrets Management Cloud : Vault et Key Vault 2026 Cloud Compliance NIS 2 SecNumCloud ISO 27017 Guide Sécurité Multi-Cloud : Stratégie Unifiée AWS, Azure et GCP Cloud Misconfiguration : Top des Erreurs de Sécurité et Cloud IAM : Sécurisation des Identités et Accès AWS, CSPM : Cloud Security Posture Management - Guide Complet Souveraineté Cloud : Protéger les Données Sensibles en Container Registry : Guide Sécurité Images Docker 2026 Cloud Logging Monitoring : Visibilité Complète 2026 Service Mesh Security : Sécuriser Istio et Linkerd Cloud Pentest Azure : Exploitation Misconfiguration Terraform IaC Sécurisé : Checklist de Durcissement Cloud Pentest AWS avec Pacu et CloudFox : Le Guide Sécurité Serverless : Lambda Functions et Protection CNAPP Cloud-Native Application Protection Platform Kubernetes Security : RBAC et Network Policies 2026 GCP Security Command Center : Audit et Durcissement Azure Defender for Cloud : Guide Configuration 2026 AWS Security : Les 20 Services Sécurité Essentiels Sécuriser une Architecture Multi-Cloud AWS et Azure

Retro-Ingenierie

18 articles
Frida et DynamoRIO : Instrumentation Binaire Avancée 2026 Symbolic Execution : Angr, Triton et Découverte d'Exploits Analyse Mémoire Forensique : Volatility pour Malware Analyse de Shellcode : Techniques de Rétro-Ingénierie Rétro-Ingénierie de C2 : Cobalt Strike et Brute Ratel Anti-Analyse Malware : Techniques et Contournements Analyse de Stealers : RedLine, Raccoon, Lumma 2026 Unpacking Malware Avancé : Techniques et Outils 2026 Rétro-Ingénierie de Ransomware : Analyse Technique Analyse Dynamique de Malware Avancée : Sandbox Expert Anti-Rétro-Ingénierie APT - Techniques d'Évasion Avancées Disséquer l'Obscurité : Techniques Avancées de Déobfuscation IA Frameworks pour l'Analyse de Malwares - Deep Learning Malwares Mobiles & IA - Rétro-Ingénierie Cross-Platform Chasse aux Fantômes : Rétro-Ingénierie Ghidra : Guide de Reverse Engineering pour Débutants Fileless Malware : Analyse, Détection et Investigation Reverse Engineering .NET : Décompilation, Analyse et

News

202 articles
Microsoft force la mise à jour vers Windows 11 25H2 sur les PC non gérés Affinity : une fuite de données expose 175 000 utilisateurs du forum Axios npm piraté : la Corée du Nord derrière l attaque supply chain React2Shell : 766 serveurs Next.js compromis, credentials volés Drift Protocol : hack à 285 M$ attribué à la Corée du Nord Cisco IMC : faille critique CVSS 9.8 permet un accès admin NoVoice : un rootkit Android caché dans 50 apps du Play Store Apple étend iOS 18.7.7 pour contrer l'exploit DarkSword Fortinet : faille critique FortiClient EMS exploitée activement Slack déploie 30 fonctionnalités IA et devient un agent autonome Commission européenne hackée via Trivy : 30 entités UE exposées BrowserGate : LinkedIn scanne vos extensions de navigateur en secret CVE-2026-0625 : zero-day critique dans les routeurs D-Link EOL GlassWorm : 72 extensions Open VSX piégées ciblent les développeurs CVE-2026-5281 : zero-day Chrome WebGPU exploité activement Le CMA britannique lance une enquête sur les licences cloud Microsoft Google NotebookLM passe à Gemini 2.5 Flash pour le raisonnement OpenAI teste des Skills pour ChatGPT, inspirées de Claude Faille critique Fortinet CVE-2026-32756 : exploitation active Akira Ransomware cible les ESXi via une faille vCenter inédite Microsoft lance Copilot Security Agents pour automatiser le SOC Claude 4 Opus d Anthropic : benchmark et implications sécurité NIS 2 : Premières Sanctions ANSSI en France 2026 Rebellions lève 400 M$ pour défier Nvidia sur les puces IA Exchange Online : Microsoft peine à résoudre des pannes persistantes TridentLocker frappe Sedgwick, sous-traitant du gouvernement US Hims & Hers : ShinyHunters vole des millions de tickets Zendesk Qilin revendique le vol de données du parti allemand Die Linke Interlock exploite un zero-day Cisco FMC CVSS 10 depuis janvier SparkCat : un malware vole les cryptos depuis les stores mobiles Microsoft lance ses propres modèles IA pour défier OpenAI Fuite Claude Code : des dépôts GitHub piégés diffusent Vidar PTC Windchill : la police allemande réveille les admins GitHub Copilot entraîne ses IA sur vos données dès le 24 285 M$ volés en 12 minutes par des hackers nord-coréens 766 serveurs Next.js compromis par vol de credentials une faille CVSS 9.8 permet le reset des mots de passe admin Cisco corrige deux failles critiques CVSS 9.8 dans IMC et Le FBI alerte sur les risques des applications mobiles ShareFile : deux failles chaînées permettent une RCE sans NoVoice : un malware Android sur Google Play vole les un exploit kit iOS cible WebKit et le kernel Apple Microsoft alerte sur une campagne VBS avec bypass UAC TrueChaos : un APT chinois exploite TrueConf pour cibler Microsoft lance Copilot Wave 3 et Agent 365 pour l'ère UAC-0255 usurpe le CERT-UA et diffuse le RAT AGEWHEEZE Chrome : Google corrige un 4e zero-day exploité en 2026 L'Iran relance Pay2Key avec des pseudo-ransomwares TeamPCP compromet des environnements cloud via des Le CMA ouvre une enquête sur Microsoft pour ses licences VMware Aria Operations : RCE critique exploitée activement Cisco SD-WAN : un zero-day CVSS 10 exploité depuis trois ans Citrix NetScaler : faille critique CVSS 9.3 exploitée Databricks lance Lakewatch, un SIEM dopé à l'IA générative Microsoft enchaîne les correctifs d'urgence Windows en 2026 Axios piraté : un RAT distribué via npm à 100 millions CareCloud Breach : Dossiers Patients Exposés en 2026 le malware IA qui vole vos identifiants navigateur ChatGPT : une faille permettait l'exfiltration de données LexisNexis piraté : 400 000 profils cloud exposés via ShinyHunters vole 350 Go de données à la Commission Aflac notifie 22 millions de clients après une cyberattaque CTRL : toolkit RAT russe ciblant les entreprises via RDP macOS Tahoe 26.4 : Apple bloque les attaques ClickFix 10 561 failles détectées dans 1,2 million de commits GitHub : de fausses alertes VS Code propagent un malware Microsoft retire la mise à jour KB5079391 après des Le DoJ démantèle des botnets IoT derrière le DDoS record FortiGate : campagne active de vol de credentials ciblant CISA alerte sur une RCE exploitée, 24 700 instances exposées CVE-2026-20131 : Interlock exploite un zero-day Cisco FMC NIST renouvelle son guide de sécurité DNS après douze ans Handala pirate la messagerie du directeur du FBI Kash Patel Infinity Stealer : un nouveau malware cible macOS via Windows 11 : Microsoft publie un correctif d'urgence le fossé des compétences se creuse entre experts et novices Ubiquiti UniFi : faille CVSS 10 expose 29 000 équipements CVE-2026-21385 : Qualcomm corrige un zero-day Android CVE-2026-0625 : zero-day exploité sur routeurs D-Link Google corrige deux zero-days Skia et V8 exploités Mistral lance Voxtral TTS, modèle vocal open source à 4B GitHub lance la détection IA pour sécuriser le code source CVE-2026-3055 : Citrix NetScaler sous reconnaissance active Crunchyroll piraté : 6,8 millions de comptes compromis TeamPCP piège le SDK Telnyx sur PyPI via stéganographie WAV CVE-2025-53521 : F5 BIG-IP exploité, CISA exige un patch BlackCat : deux experts cybersécurité plaident coupable CVE-2026-32746 : RCE root non authentifié dans Telnetd APT28 exploite un 0-day MSHTML avant le Patch Tuesday Red Menshen : BPFDoor espionne les télécoms depuis 2021 Anthropic : la justice américaine bloque le ban de Trump Commission européenne : 350 Go volés via un cloud AWS Bearlyfy frappe 70 entreprises russes avec GenieLocker LangChain et LangGraph : trois failles critiques révélées PolyShell : 57 % des boutiques Magento vulnérables attaquées CVE-2026-33017 Langflow : RCE non authentifié exploité Qilin cible Malaysia Airlines : données passagers volées Conduent : brèche SafePay expose 25 millions d'Américains Mistral Small 4 : un seul modèle MoE remplace trois IA PolyShell : skimmer WebRTC vole 56 % des boutiques Magento CanisterWorm : TeamPCP infecte Trivy et 66 packages npm GlassWorm utilise Solana comme C2 pour son RAT furtif Medusa Ransomware : 9 jours hors-ligne pour un hôpital US Mandiant M-Trends 2026 : accès initial cédé en 22 secondes CVE-2026-20131 Cisco FMC : CVSS 10.0, hôpitaux visés CERTFR-2026-ALE-003 : ANSSI alerte sur les messageries Opération Checkmate : BlackSuit ransomware démantélé LiteLLM piraté : attaque supply chain PyPI TeamPCP EvilTokens PhaaS : 340 organisations M365 touchées Slopoly : Hive0163 déploie un malware généré par IA FCC interdit l'import de routeurs étrangers aux USA Silver Fox APT : espionnage et cybercrime ciblant l Asie Firefox 149 intègre un VPN gratuit et le Split View CVE-2026-32746 : RCE root non authentifié, GNU Telnetd CVE-2026-22557 Ubiquiti UniFi CVSS 10.0, 87 000 exposés TELUS Digital : ShinyHunters et le Vol de 1 PO de Data CVE-2025-32975 : Quest KACE SMA CVSS 10.0 exploité NVIDIA Agent Toolkit : IA autonome sécurisée en prod CVE-2026-3055 Citrix NetScaler : fuite de tokens SAML Crunchyroll confirme une fuite touchant 6,8 M d'utilisateurs Tycoon 2FA démantelé : Europol met fin au PhaaS MFA bypass TeamPCP étend son attaque supply chain à Checkmarx KICS CVE-2026-33017 Langflow : RCE exploité 20h après disclosure Stryker : le wiper iranien Handala détruit 80 000 terminaux Zero-Day CVSS 10.0 PTC Windchill : webshells en production Un hacker russe condamné à 81 mois pour ransomware La Corée du Nord piège les devs crypto via VS Code CMA UK : décision imminente contre AWS et Microsoft Moscou Usurpe Signal pour Cibler Officiels et Journalistes Microsoft Corrige en Urgence son Patch Tuesday Cassé GlassWorm Piège 72 Extensions VSCode pour Voler des Secrets PhantomRaven : Campagne npm Cible les Secrets CI/CD VMware Aria Operations CVE-2026-22719 : CISA KEV RCE Cisco FMC CVE-2026-20131 : Interlock RCE Root Actif DarkSword : exploit iOS zero-day ciblant les iPhones Le DoJ démantèle 4 botnets IoT au record de 31 Tbps n8n : 4 Failles RCE Critiques, 24 700 Serveurs Exposés Trivy : Attaque Supply Chain via GitHub Actions 2026 Meta : Agent IA Autonome Déclenche un Incident Critique Mistral Small 4 : Le Modèle Open Source 119B Tout-en-Un CVE-2026-21992 : Oracle Identity Manager RCE CVSS 9.8 Malaysia Airlines : le Groupe Quilin Exfiltre les Données Marquis Financial : 672 000 Victimes et Données Bancaires CVE-2025-68613 n8n : CISA KEV, 24 700 instances RCE exposées Navia Benefit Solutions : 2,7M dossiers santé exposés Opération Alice : 373 000 sites dark web démantelés CVE-2026-32746 : RCE Root dans GNU Telnetd CVSS 9.8 APT28 BadPaw et MeowMeow : Nouvelles Armes Contre l'Ukraine APT41 Silver Dragon : Espionnage via Google Drive C2 CVE-2026-20131 : Cisco FMC Zero-Day CVSS 10 Exploité CVE-2026-20963 SharePoint RCE Exploité : Alerte CISA KEV CVE-2026-33017 Langflow RCE : Exploité en Moins de 20h Iran-Handala : Wiper sur Stryker, FBI Saisit les Domaines CERT-FR : Messageries Instantanées Détournées Sans Malware TELUS Digital : ShinyHunters Vole 1 Pétaoctet de Données GLM-5 : Zhipu AI Lance un Modele 744B Parametres en 2026 Kali Linux 2025.4 : Passage a Wayland par Defaut en 2026 RSAC 2026 : Les Tendances Cybersecurite de l'Annee Patch Tuesday Fevrier 2026 : 4 Zero-Days Critiques Google Finalise l'Acquisition de Wiz pour 32 Milliards Gemini 3.1 Pro : 1 Million de Tokens en Contexte en 2026 Entra ID : Jailbreak de l'Authenticator Decouvert en 2026 FIRST Prevoit 50 000 CVE Publiees en 2026 : Guide Complet Entra ID : Migration Obligatoire vers DigiCert G2 en 2026 Anthropic Lance Cowork : Claude Sans Code pour Tous FCC Alerte : Ransomware Quadruple Depuis 2021 en 2026 Qilin Ransomware Domine le Paysage des Menaces Q1 2026 McDonald's India : Everest Ransomware Frappe Fort en 2026 CNIL France Travail : Sanction de 5 Millions EUR en 2026 CNIL : Free Mobile Sanctionne a 42 Millions EUR en 2026 Patch Tuesday Janvier 2026 : 112 CVE Corrigees en 2026 Microsoft Publie un Guide de Durcissement AD Complet Kali Linux 2025.3 : 15 Nouveaux Outils de Pentest en 2026 Cegedim Sante : 15 Millions de Patients Exposes en 2026 Kubernetes 1.35 : User Namespaces en Production en 2026 CNIL : Amende de 3,5M EUR pour Partage Illegal de Donnees SoundCloud et Inotiv : Double Fuite de Donnees en 2026 Leroy Merlin : Fuite de Donnees de 2 Millions de Clients GPT-5.2 : OpenAI Repousse les Limites a 400K Tokens React2Shell : RCE Critique CVSS 10 dans React Native BadSuccessor : Nouvelle Faille Critique Windows AD NIS 2 : l'Allemagne Adopte sa Loi de Transposition Shai-Hulud 2 : Supply Chain NPM Compromis a Grande Echelle Llama 4 Scout et Maverick : Meta Passe au Multimodal Microsoft Renforce la Protection CSP dans Entra ID Attaques Active Directory en Hausse de 42% en 2025 CVE-2025-20337 : RCE Critique dans Cisco ISE : Guide Complet Claude 4.5 : Anthropic Mise sur les Agents IA en 2026 Gemini 3 : Google Bat Tous les Benchmarks LLM en 2026 GPT-5.1 : OpenAI Lance son Modele le Plus Puissant ISO 27001:2022 : Fin de Transition en Octobre 2025 DoorDash : Fuite Massive via Social Engineering en 2026 OpenAI Renonce a l'Open Source pour ses Modeles IA SimonMed : Medusa Ransomware Expose 500K Patients en 2026 Ingénierie Sociale par IA : Menace Cyber n°1 en 2025 Failles de Sécurité Critiques Découvertes dans l'App Cisco Lance un Outil pour Sécuriser les Déploiements Faille Microsoft 365 Copilot Permet l'Exfiltration de Microsoft Déploie un Fix d'Urgence pour le Bug en 2026 Crimson Collective Exfiltre 12 To via F5 BIG-IP en 2026 Oracle EBS : Zero-Day RCE Exploite en Production en 2026 CVE-2025-64446 : Faille Critique FortiWeb CVSS 9.8

Livres Blancs

14 articles
Livres Blancs Gratuits
Voir tous →
DFIR : Réponse à Incident et Forensics | Guide Expert

DFIR : Réponse à Incident et Forensics | Guide Expert
Zero Trust : Architecture et Déploiement Entreprise

Zero Trust : Architecture et Déploiement Entreprise
Red Team vs Blue Team : Méthodologies et Outils Expert

Red Team vs Blue Team : Méthodologies et Outils Expert
Sécurité Microsoft 365 : Audit et Durcissement Complet

Sécurité Microsoft 365 : Audit et Durcissement Complet
Guide Complet du Pentest Cloud : AWS, Azure et GCP

Guide Complet du Pentest Cloud : AWS, Azure et GCP
Sécurité DevSecOps : Intégrer la Sécurité dans le CI/CD

Sécurité DevSecOps : Intégrer la Sécurité dans le CI/CD
IA Offensive et Défensive en Cybersécurité | Guide 2025

IA Offensive et Défensive en Cybersécurité | Guide 2025
Conformité ISO 27001 : Guide Pratique d'Implémentation

Conformité ISO 27001 : Guide Pratique d'Implémentation
Livre Blanc : Securite Active Directory — Guide Pratique
PDF

Livre Blanc : Securite Active Directory — Guide Pratique
Livre Blanc : Anatomie Attaque Ransomware — Guide Pratique

Livre Blanc : Anatomie Attaque Ransomware — Guide Pratique
Livre Blanc : Pentest Cloud AWS Azure GCP — Guide Pratique

Livre Blanc : Pentest Cloud AWS Azure GCP — Guide Pratique
Livre Blanc : Securite Kubernetes — Guide Pratique

Livre Blanc : Securite Kubernetes — Guide Pratique

Téléchargement gratuit · Aucune inscription requise

Tous les livres blancs
Checklists Sécurité — Audit & Durcissement
Formats disponibles
📄 PDF 📊 Excel 🌐 Web

11 checklists professionnelles couvrant 2 200+ points de contrôle. Téléchargement gratuit, aucune inscription.

Toutes les checklists Demander un audit
Guides Conformité & Réglementations 2026
Audit & Pentest
Pentest Active Directory Pentest Cloud Pentest Kubernetes Pentest Virtualisation Pentest Microsoft 365 Audit Infrastructure Audit Kubernetes Audit Microsoft 365
Conformité & Gouvernance
ISO 27001 EBIOS RM AirCyber — Boost Aerospace
Forensics & Incident
Investigation numérique Réponse à incident Rétro-ingénierie Analyse données chiffrées
Tous les articles Articles IA Livres Blancs Grands Guides Checklists Sécurité Blog Actualités Tech Alertes CVE Recherche avancée
Formations
Normes
ISO 27001 SOC 2 PCI DSS 4.0.1
Certifications France
HDS 2026 SecNumCloud 2026
Réglementations 2026
DORA 2026 NIS 2 AI Act 2026 CRA RGPD 2026
IA & Certifications
ISO 42001 Foundation ISO 42001 Lead Implementer ISO 42001 Lead Auditor
Contact
Checklist Sécurité ANC

☁️ Checklist Sécurité Azure Foundations

Sécurisation Azure : IAM, Entra ID, réseau virtuel, Key Vault, Defender for Cloud, NSG, stockage chiffré et gouvernance.

35 sections 23 contrôles 26853 mots PDF + Excel

Checklist complète pour sécuriser les fondations Azure : Entra ID et Conditional Access, réseau virtuel (NSG, Private Endpoints), Key Vault, Defender for Cloud, chiffrement du stockage et gouvernance des abonnements. Chaque contrôle inclut les commandes Azure CLI/PowerShell et les configurations recommandées.

PDF Excel
📑 Table des matières

CHECKLIST DE SÉCURITÉ AZURE FOUNDATIONS

AYI NEDJIMI CONSULTANTS

Version : 1.0
Date : 04 Avril 2026
Classification : CONFIDENTIEL
Auteur : AYI NEDJIMI CONSULTANTS
Sources : CIS Azure Foundations v5.0.0, Azure Security Benchmark v3, ANSSI Cloud, NIST 800-53, MITRE ATT&CK Cloud

LÉGENDE

Symbole Statut Description
Conforme Le contrôle est correctement implémenté
Non-conforme Le contrôle n’est pas implémenté ou mal configuré
⚠️ Partiellement conforme Le contrôle est partiellement implémenté
N/A Non applicable Le contrôle ne s’applique pas à cet environnement
Niveau Criticité Action requise
🔴 Critique Correction immédiate obligatoire
🟠 Élevé Correction sous 30 jours
🟡 Moyen Correction sous 90 jours
🟢 Faible Correction selon planification

MODE DÉCOUVERTE RAPIDE — 15 QUESTIONS CLÉS

Questions Critiques de Sécurité Azure

  1. MFA activé pour tous les comptes privilégiés ? ✅ ❌ ⚠️ N/A
  2. Conditional Access configuré ? ✅ ❌ ⚠️ N/A
  3. PIM (Privileged Identity Management) activé ? ✅ ❌ ⚠️ N/A
  4. Defender for Cloud activé sur toutes les ressources ? ✅ ❌ ⚠️ N/A
  5. Chiffrement au repos activé (Storage, SQL, Disques) ? ✅ ❌ ⚠️ N/A
  6. Activity Log centralisé dans Log Analytics ? ✅ ❌ ⚠️ N/A
  7. Network Security Groups (NSG) configurés ? ✅ ❌ ⚠️ N/A
  8. Azure Firewall ou WAF déployé ? ✅ ❌ ⚠️ N/A
  9. Key Vault avec RBAC et soft delete ? ✅ ❌ ⚠️ N/A
  10. Managed Identity utilisées (pas de secrets codés en dur) ? ✅ ❌ ⚠️ N/A
  11. Private Endpoints configurés pour les services sensibles ? ✅ ❌ ⚠️ N/A
  12. Azure Policy implémenté pour la gouvernance ? ✅ ❌ ⚠️ N/A
  13. Sauvegarde automatisée et testée ? ✅ ❌ ⚠️ N/A
  14. Sentinel ou solution SIEM configurée ? ✅ ❌ ⚠️ N/A
  15. Plan de réponse aux incidents documenté ? ✅ ❌ ⚠️ N/A

Score rapide : ___/15 (✅=1, ⚠️=0.5, ❌=0, N/A=exclus)

INFORMATIONS CLIENT

Champ Valeur
Nom de l’organisation
Tenant Azure AD
Nombre de souscriptions
Environnements Production / Pré-production / Développement / Test
Secteur d’activité
Réglementations applicables RGPD / NIS2 / HDS / SecNumCloud / Autre
Date d’audit
Auditeur principal
Personnes présentes

SECTIONS DE CONTRÔLES DE SÉCURITÉ

S1 — IDENTITÉ ET GESTION DES ACCÈS (IAM)

1.1 — AUTHENTIFICATION MULTI-FACTEURS (MFA)

1.1.1 — MFA obligatoire pour les administrateurs Azure

Niveau : 🔴
Référence CIS : CIS Azure 1.1
MITRE ATT&CK : T1078.004

Description : L’authentification multi-facteurs doit être activée pour tous les comptes avec des privilèges administratifs dans Azure AD. Cela inclut les rôles Global Admin, Security Admin, et autres rôles privilégiés.

Vérification :

  • Portal > Azure AD > Security > Conditional Access > Policies
  • CLI: az ad user list –query “[?accountEnabled].userPrincipalName” –output table
  • PowerShell: Get-AzADUser | Where-Object {BEGIN___COMMAND_OUTPUT_MARKER.AccountEnabled -eq }

Remédiation :

  1. Portal > Azure AD > Security > Conditional Access
  2. Create new policy “Require MFA for Admins”
  3. Assign to admin groups/roles
  4. Grant controls > Require MFA

Valeur par défaut : Désactivé

1.1.2 — MFA obligatoire pour tous les utilisateurs privilégiés

Niveau : 🔴
Référence CIS : CIS Azure 1.1.1
MITRE ATT&CK : T1078.004

Description : Tous les utilisateurs ayant des accès privilégiés aux ressources Azure doivent utiliser MFA, y compris les propriétaires de ressources et contributeurs sur des services critiques.

Vérification :

  • Portal > Azure AD > Sign-ins > Filter by Conditional Access status
  • CLI: az ad signed-in-user show
  • PowerShell: Get-AzContext

Remédiation :

  1. Identifier tous les comptes privilégiés
  2. Créer une politique Conditional Access ciblée
  3. Configurer l’exigence MFA
  4. Test en mode report-only puis activation

Valeur par défaut : Désactivé

1.1.3 — Méthodes MFA sécurisées configurées

Niveau : 🟠
Référence CIS : CIS Azure 1.1.2
MITRE ATT&CK : T1621

Description : Les méthodes MFA faibles (SMS/appels vocaux) doivent être désactivées au profit des méthodes sécurisées (Microsoft Authenticator, FIDO2, Windows Hello).

Vérification :

Remédiation :

  1. Portal > Azure AD > Security > Authentication methods > Policies
  2. Désactiver SMS et Voice call
  3. Activer Microsoft Authenticator (passwordless)
  4. Configurer FIDO2 security keys

Valeur par défaut : SMS et appels vocaux activés

1.2 — CONDITIONAL ACCESS

1.2.1 — Politique de blocage des pays à risque

Niveau : 🟠
Référence CIS : CIS Azure 1.1.3
MITRE ATT&CK : T1078

Description : Les connexions depuis des pays non autorisés doivent être bloquées automatiquement via Conditional Access pour réduire les risques de compromission.

Vérification :

Remédiation :

  1. Créer Named Locations pour pays autorisés
  2. Créer politique CA “Block Risky Countries”
  3. Condition : Locations (exclude trusted countries)
  4. Grant : Block access

Valeur par défaut : Aucune restriction géographique

1.2.2 — Accès conditionnel basé sur les risques utilisateur

Niveau : 🟠
Référence CIS : CIS Azure 1.1.4
MITRE ATT&CK : T1078.004

Description : Azure AD Identity Protection doit détecter et bloquer automatiquement les connexions à haut risque basées sur le comportement utilisateur anormal.

Vérification :

Remédiation :

  1. Activer Azure AD P2 license
  2. Portal > Identity Protection > User risk policy
  3. Configuration : High risk = Block access
  4. Medium risk = Require MFA + password change

Valeur par défaut : Désactivé (nécessite P2)

1.2.3 — Accès conditionnel pour applications cloud

Niveau : 🟠
Référence CIS : CIS Azure 1.1.5
MITRE ATT&CK : T1078.004

Description : Toutes les applications cloud critiques doivent avoir des politiques d’accès conditionnel spécifiques avec contrôles de sécurité appropriés.

Vérification :

  • Portal > Azure AD > Enterprise applications > Conditional Access
  • CLI: az ad app list –query “[].{appId:appId,displayName:displayName}”
  • PowerShell: Get-AzADApplication

Remédiation :

  1. Inventaire des applications critiques
  2. Créer politiques CA par application
  3. Conditions : Device compliance, Location, Risk
  4. Grant controls : MFA, Compliant device, etc.

Valeur par défaut : Aucune politique spécifique

1.3 — PRIVILEGED IDENTITY MANAGEMENT (PIM)

1.3.1 — PIM activé pour les rôles administrateurs

Niveau : 🔴
Référence CIS : CIS Azure 1.1.6
MITRE ATT&CK : T1078.003

Description : Azure AD Privileged Identity Management doit être activé pour tous les rôles administratifs sensibles, permettant l’accès just-in-time et l’audit des privilèges.

Vérification :

Remédiation :

  1. Activer Azure AD P2 license
  2. Portal > PIM > Azure AD roles > Discover resources
  3. Configurer rôles éligibles (eligible assignments)
  4. Supprimer assignations permanentes

Valeur par défaut : Désactivé (nécessite P2)

1.3.2 — Activation PIM avec justification obligatoire

Niveau : 🟠
Référence CIS : CIS Azure 1.1.7
MITRE ATT&CK : T1078.003

Description : L’activation des rôles privilégiés via PIM doit exiger une justification métier et une approbation selon le niveau de criticité du rôle.

Vérification :

  • Portal > PIM > Azure AD roles > Settings > Role settings
  • CLI: Vérifier via Microsoft Graph API
  • PowerShell: Get-AzADPIMRoleSettings

Remédiation :

  1. PIM > Role settings > Configure chaque rôle
  2. Activation : Require justification
  3. Activation : Require approval pour rôles critiques
  4. Maximum duration : 8 heures maximum

Valeur par défaut : Aucune justification requise

1.3.3 — Révision d’accès PIM automatisée

Niveau : 🟡
Référence CIS : CIS Azure 1.1.8
MITRE ATT&CK : T1078

Description : Des révisions d’accès automatisées doivent être configurées pour valider périodiquement que les assignations de rôles privilégiés sont toujours justifiées.

Vérification :

Remédiation :

  1. PIM > Access reviews > New access review
  2. Scope : Eligible role assignments
  3. Reviewers : Resource owners + managers
  4. Recurrence : Quarterly pour rôles critiques

Valeur par défaut : Aucune révision automatisée

1.4 — RÔLES ET PERMISSIONS (RBAC)

1.4.1 — Principe du moindre privilège appliqué

Niveau : 🟠
Référence CIS : CIS Azure 1.2.1
MITRE ATT&CK : T1078

Description : Les utilisateurs et services doivent avoir uniquement les permissions minimales nécessaires pour accomplir leurs tâches, avec usage préférentiel des rôles intégrés plutôt que Owner ou Contributor.

Vérification :

  • Portal > Subscriptions > Access control (IAM) > Role assignments
  • CLI: az role assignment list –include-inherited –include-groups
  • PowerShell: Get-AzRoleAssignment

Remédiation :

  1. Audit des assignations actuelles
  2. Identifier les sur-privilèges (Owner, Contributor)
  3. Remplacer par rôles spécifiques (Reader, VM Contributor, etc.)
  4. Documenter justifications métier

Valeur par défaut : Souvent sur-privilégié

1.4.2 — Limitation des propriétaires de souscriptions

Niveau : 🔴
Référence CIS : CIS Azure 1.2.2
MITRE ATT&CK : T1078

Description : Le nombre de propriétaires (Owner) de souscriptions Azure doit être limité au strict minimum (2-3 maximum) et faire l’objet d’un contrôle strict.

Vérification :

  • Portal > Subscriptions > Access control (IAM) > Filter by Owner role
  • CLI: az role assignment list –role Owner –include-inherited
  • PowerShell: Get-AzRoleAssignment | Where-Object {BEGIN___COMMAND_OUTPUT_MARKER.RoleDefinitionName -eq “Owner”}

Remédiation :

  1. Lister tous les propriétaires actuels
  2. Révision métier : qui a vraiment besoin du rôle Owner ?
  3. Remplacer par des rôles plus granulaires
  4. Maintenir 2-3 Owners maximum par souscription

Valeur par défaut : Souvent trop de propriétaires

1.4.3 — Rôles personnalisés justifiés et documentés

Niveau : 🟡
Référence CIS : CIS Azure 1.2.3
MITRE ATT&CK : T1078

Description : Les rôles personnalisés ne doivent être créés que lorsqu’aucun rôle intégré ne répond au besoin, avec documentation complète des permissions accordées.

Vérification :

  • Portal > Subscriptions > Access control (IAM) > Roles > Type: Custom
  • CLI: az role definition list –custom-role-only
  • PowerShell: Get-AzRoleDefinition | Where-Object {BEGIN___COMMAND_OUTPUT_MARKER.IsCustom -eq }

Remédiation :

  1. Inventaire des rôles personnalisés
  2. Révision : est-ce qu’un rôle intégré pourrait convenir ?
  3. Documentation des rôles personnalisés conservés
  4. Suppression des rôles obsolètes

Valeur par défaut : Aucun rôle personnalisé

1.5 — SERVICE PRINCIPALS ET MANAGED IDENTITIES

1.5.1 — Managed Identity privilégiée sur Service Principal

Niveau : 🟠
Référence CIS : CIS Azure 1.2.4
MITRE ATT&CK : T1078.004

Description : Les applications Azure doivent utiliser des Managed Identities plutôt que des Service Principals avec secrets pour l’authentification aux services Azure.

Vérification :

  • Portal > Azure AD > Enterprise applications > Managed identities
  • CLI: az ad sp list –query “[?servicePrincipalType==‘Application’].{appId:appId,displayName:displayName}”
  • PowerShell: Get-AzADServicePrincipal | Where-Object {BEGIN___COMMAND_OUTPUT_MARKER.ServicePrincipalType -eq “Application”}

Remédiation :

  1. Inventaire des Service Principals actuels
  2. Identifier lesquels peuvent utiliser Managed Identity
  3. Migration : App Services, VMs, Function Apps
  4. Suppression des secrets non nécessaires

Valeur par défaut : Service Principals avec secrets

1.5.2 — Rotation automatique des secrets Service Principal

Niveau : 🟠
Référence CIS : CIS Azure 1.2.5
MITRE ATT&CK : T1078.004

Description : Les secrets des Service Principals qui ne peuvent pas être remplacés par des Managed Identities doivent avoir une rotation automatisée et une durée de vie limitée (12 mois maximum).

Vérification :

  • Portal > Azure AD > App registrations > Certificates & secrets
  • CLI: az ad app credential list –id
  • PowerShell: Get-AzADAppCredential -ApplicationId

Remédiation :

  1. Audit des secrets existants et leurs dates d’expiration
  2. Rotation des secrets > 12 mois
  3. Mise en place d’alertes d’expiration
  4. Processus de rotation automatisée (Key Vault + Logic Apps)

Valeur par défaut : Secrets à long terme (2 ans par défaut)

1.5.3 — Permissions minimales pour Service Principals

Niveau : 🟠
Référence CIS : CIS Azure 1.2.6
MITRE ATT&CK : T1078.004

Description : Les Service Principals doivent avoir uniquement les permissions Azure RBAC et API Graph strictement nécessaires pour leur fonction.

Vérification :

  • Portal > Azure AD > Enterprise applications > Permissions
  • CLI: az ad sp show –id –query “oauth2PermissionGrants”
  • PowerShell: Get-AzADServicePrincipal | Get-AzADServicePrincipalOAuth2PermissionGrant

Remédiation :

  1. Audit des permissions Graph API accordées
  2. Révocation des permissions excessive (ex: Directory.ReadWrite.All)
  3. Application du principe du moindre privilège
  4. Test des applications après réduction des permissions

Valeur par défaut : Souvent sur-privilégié

1.6 — UTILISATEURS INVITÉS (GUEST)

1.6.1 — Restriction des invitations d’utilisateurs externes

Niveau : 🟠
Référence CIS : CIS Azure 1.2.7
MITRE ATT&CK : T1078.004

Description : Les invitations d’utilisateurs externes (B2B) doivent être restreintes aux administrateurs ou à un groupe défini, avec processus d’approbation formel.

Vérification :

Remédiation :

  1. External Identities > External collaboration settings
  2. Guest invite restrictions : “Only users assigned to specific admin roles”
  3. OU créer groupe autorisé à inviter
  4. Processus de validation métier des invitations

Valeur par défaut : Tous les utilisateurs peuvent inviter

1.6.2 — Révision périodique des utilisateurs invités

Niveau : 🟡
Référence CIS : CIS Azure 1.2.8
MITRE ATT&CK : T1078.004

Description : Les comptes utilisateurs invités doivent faire l’objet d’une révision d’accès trimestrielle pour s’assurer que leur accès est toujours justifié.

Vérification :

  • Portal > Azure AD > Identity Governance > Access reviews
  • CLI: az ad user list –query “[?userType==‘Guest’].{userPrincipalName:userPrincipalName,creationType:creationType}”
  • PowerShell: Get-AzADUser | Where-Object {BEGIN___COMMAND_OUTPUT_MARKER.UserType -eq “Guest”}

Remédiation :

  1. Identity Governance > Access reviews > New access review
  2. Scope : Guest users
  3. Reviewers : Resource owners/sponsors
  4. Recurrence : Quarterly

Valeur par défaut : Aucune révision automatisée

1.7 — COMPTES DE SERVICE ET BREAK-GLASS

1.7.1 — Comptes break-glass configurés et protégés

Niveau : 🔴
Référence CIS : CIS Azure 1.2.9
MITRE ATT&CK : T1078

Description : Au moins 2 comptes break-glass (urgence) doivent être configurés avec mot de passe complexe stocké de façon sécurisée, exclus des politiques Conditional Access.

Vérification :

  • Portal > Azure AD > Users > Filter par “emergency” ou “breakglass”
  • CLI: az ad user list –query “[?contains(displayName,’emergency’) || contains(displayName,‘break’)]”
  • PowerShell: Get-AzADUser | Where-Object {BEGIN___COMMAND_OUTPUT_MARKER.DisplayName -like “emergency” -or BEGIN___COMMAND_OUTPUT_MARKER.DisplayName -like “break”}

Remédiation :

  1. Créer 2 comptes : emergency-admin-01/02
  2. Mot de passe complexe stocké offline sécurisé
  3. Rôle Global Administrator
  4. Exclusion des politiques Conditional Access
  5. Monitoring spécifique des connexions

Valeur par défaut : Aucun compte break-glass

1.7.2 — Surveillance des comptes break-glass

Niveau : 🟠
Référence CIS : CIS Azure 1.2.10
MITRE ATT&CK : T1078

Description : Toute utilisation des comptes break-glass doit déclencher une alerte immédiate et faire l’objet d’un suivi d’incident de sécurité.

Vérification :

  • Portal > Azure Monitor > Logs > SigninLogs
  • Requête KQL : SigninLogs | where UserPrincipalName contains “emergency”
  • PowerShell: Get-AzActivityLog | Where-Object {BEGIN___COMMAND_OUTPUT_MARKER.Caller -like “emergency”}

Remédiation :

  1. Azure Monitor > Alerts > New alert rule
  2. Condition : SigninLogs where UserPrincipalName contains emergency
  3. Action Group : Email SOC + SMS responsables sécurité
  4. Processus d’incident automatique

Valeur par défaut : Aucune surveillance spécifique

1.8 — POLITIQUES DE MOTS DE PASSE ET SÉCURITÉ

1.8.1 — Politique de mots de passe sécurisée

Niveau : 🟠
Référence CIS : CIS Azure 1.1.9
MITRE ATT&CK : T1110

Description : Les politiques de mots de passe doivent respecter les bonnes pratiques : longueur minimale, complexité, bannissement des mots de passe courants.

Vérification :

Remédiation :

  1. Portal > Security > Authentication methods > Password protection
  2. Activer “Enforce custom banned password list”
  3. Ajouter termes spécifiques organisation
  4. Mode : Enforced (pas Audit)

Valeur par défaut : Politique basique

1.8.2 — Protection contre le password spray

Niveau : 🟠
Référence CIS : CIS Azure 1.1.10
MITRE ATT&CK : T1110.003

Description : Azure AD Smart Lockout doit être configuré pour détecter et bloquer les attaques par pulvérisation de mots de passe.

Vérification :

  • Portal > Azure AD > Security > Authentication methods > Password protection
  • CLI: Vérifier les paramètres via Graph API
  • PowerShell: Vérification des politiques de verrouillage

Remédiation :

  1. Security > Authentication methods > Password protection
  2. Smart Lockout : Threshold = 5 tentatives
  3. Lockout duration : 60 secondes minimum
  4. Monitoring des événements de verrouillage

Valeur par défaut : Lockout threshold = 10

1.9 — AUDIT ET SURVEILLANCE IAM

1.9.1 — Audit des changements de rôles privilégiés

Niveau : ��
Référence CIS : CIS Azure 1.1.11
MITRE ATT&CK : T1078

Description : Tous les changements d’attribution de rôles privilégiés doivent être audités et alerter automatiquement l’équipe de sécurité.

Vérification :

  • Portal > Azure AD > Audit logs > Activity: Add member to role
  • CLI: az monitor activity-log list –filters “Category eq ‘Administrative’”
  • PowerShell: Get-AzLog -ResourceProvider “Microsoft.Authorization”

Remédiation :

  1. Azure Monitor > Logs > Recherche modifications RBAC
  2. Création alerte : AuditLogs | where ActivityDisplayName contains “role”
  3. Action Group : Notification équipe sécurité
  4. Révision hebdomadaire des changements

Valeur par défaut : Audit activé, alertes non configurées

1.9.2 — Surveillance des connexions administrateur

Niveau : 🟠
Référence CIS : CIS Azure 1.1.12
MITRE ATT&CK : T1078

Description : Les connexions des comptes administrateur doivent être surveillées en continu avec alertes sur les comportements anormaux (géolocalisation, horaires, échecs répétés).

Vérification :

  • Portal > Azure AD > Sign-ins > Filter by admin roles
  • CLI: az monitor activity-log list –filters “Category eq ‘SigninLogs’”
  • PowerShell: Search-AzGraph -Query “SigninLogs | where UserType == ‘Admin’”

Remédiation :

  1. Configurer Identity Protection (Azure AD P2)
  2. Surveillance géographique anormale
  3. Alertes connexions à risque élevé
  4. Dashboard SOC avec métriques admin

Valeur par défaut : Surveillance basique uniquement

1.7 — ACCÈS CONDITIONNEL AVANCÉ

1.7.1 — Politique d’accès basée sur les risques utilisateur

Niveau : 🔴
Référence CIS : CIS Azure 1.1.7
MITRE ATT&CK : T1078.004

Description : Configurer des politiques d’accès conditionnel qui évaluent les risques des utilisateurs et sessions pour bloquer ou demander une authentification supplémentaire lors de connexions suspectes.

Vérification :

  • Portal > Azure AD > Security > Conditional Access > Policies
  • CLI: az ad policy list –query “[?contains(displayName,‘Risk’)]”
  • PowerShell: Get-AzureADMSConditionalAccessPolicy | Where-Object {$_.DisplayName -like “Risk”}

Remédiation :

  1. Activer Azure AD Identity Protection
  2. Configurer les niveaux de risque utilisateur (Low, Medium, High)
  3. Créer une politique CA “Block High Risk Users”
  4. Tester en mode report-only avant activation
# Créer une politique de risque utilisateur
New-AzureADMSConditionalAccessPolicy -DisplayName "Block High Risk Users" -State "Enabled" -UserRiskLevels @("high") -SignInRiskLevels @("high") -BuiltInControls @("block")

Valeur par défaut : Désactivé

1.7.2 — Accès conditionnel basé sur la géolocalisation

Niveau : 🟠
Référence CIS : CIS Azure 1.1.8
MITRE ATT&CK : T1078.004

Description : Bloquer ou restreindre l’accès depuis des pays/régions non approuvés pour réduire les risques d’accès malveillants depuis des zones géographiques inattendues.

Vérification :

  • Portal > Azure AD > Security > Named locations
  • CLI: az ad policy list –query “[?contains(displayName,‘Location’)]”
  • PowerShell: Get-AzureADMSNamedLocationPolicy

Remédiation :

  1. Définir les emplacements nommés approuvés
  2. Créer une politique de géolocalisation
  3. Configurer le blocage des pays non approuvés
# Créer un emplacement nommé pour les pays approuvés
New-AzureADMSNamedLocationPolicy -OdataType "#microsoft.graph.countryNamedLocation" -DisplayName "Approved Countries" -CountriesAndRegions @("FR", "US", "CA") -IncludeUnknownCountriesAndRegions $false

Valeur par défaut : Désactivé

1.7.3 — Contrôle d’accès basé sur les appareils conformes

Niveau : 🔴
Référence CIS : CIS Azure 1.1.9
MITRE ATT&CK : T1078.004

Description : Exiger que les appareils soient conformes aux politiques de sécurité ou joints au domaine avant d’autoriser l’accès aux ressources sensibles.

Vérification :

  • Portal > Azure AD > Devices > Device compliance
  • CLI: az ad device list –query “[].{Name:displayName,Compliant:isCompliant}”
  • PowerShell: Get-AzureADDevice | Select-Object DisplayName, IsCompliant

Remédiation :

  1. Configurer Microsoft Intune pour la gestion des appareils
  2. Définir les politiques de conformité
  3. Créer une politique CA exigeant des appareils conformes
# Créer une politique exigeant des appareils conformes
New-AzureADMSConditionalAccessPolicy -DisplayName "Require Compliant Device" -State "Enabled" -DeviceState @("compliant", "domainJoined")

Valeur par défaut : Désactivé

1.8 — PRIVILEGED IDENTITY MANAGEMENT (PIM)

1.8.1 — Activation JIT pour les rôles privilégiés

Niveau : 🔴
Référence CIS : CIS Azure 1.2.1
MITRE ATT&CK : T1078.004

Description : Configurer PIM pour exiger une activation just-in-time des rôles administratifs avec approbation et justification métier.

Vérification :

Remédiation :

  1. Activer PIM pour Azure AD
  2. Configurer les paramètres d’activation pour chaque rôle
  3. Définir les approbateurs et exigences de justification
# Configurer PIM pour le rôle Global Administrator
$roleDefinitionId = (Get-AzureADDirectoryRole | Where-Object {$_.DisplayName -eq "Global Administrator"}).ObjectId
Set-AzureADMSPrivilegedRoleAssignmentPolicy -ProviderId "aadRoles" -ResourceId "tenant" -RoleDefinitionId $roleDefinitionId -ActivationDuration "PT8H" -ApprovalRequired $true

Valeur par défaut : Désactivé

1.8.2 — Révisions d’accès périodiques pour les rôles privilégiés

Niveau : 🔴
Référence CIS : CIS Azure 1.2.2
MITRE ATT&CK : T1078.004

Description : Configurer des révisions d’accès automatiques pour tous les rôles privilégiés afin de s’assurer que les permissions restent nécessaires et appropriées.

Vérification :

Remédiation :

  1. Créer des révisions d’accès pour tous les rôles privilégiés
  2. Configurer la fréquence (recommandé : trimestrielle)
  3. Définir les réviseurs appropriés
# Créer une révision d'accès pour les administrateurs globaux
New-AzureADMSAccessReview -DisplayName "Global Admin Review" -StartDate (Get-Date) -EndDate (Get-Date).AddDays(30) -ReviewedEntity "GlobalAdmins"

Valeur par défaut : Désactivé

1.8.3 — Alertes PIM configurées

Niveau : 🟠
Référence CIS : CIS Azure 1.2.3
MITRE ATT&CK : T1078.004

Description : Configurer et surveiller les alertes PIM pour détecter les activations suspectes ou les modifications non autorisées des rôles privilégiés.

Vérification :

  • Portal > Azure AD > PIM > Azure AD roles > Alerts
  • CLI: az monitor activity-log list –resource-group “PIM-Alerts”
  • PowerShell: Get-AzureADAuditDirectoryLogs -Filter “category eq ‘RoleManagement’”

Remédiation :

  1. Configurer les alertes PIM dans le portail
  2. Définir les destinataires des notifications
  3. Intégrer avec SIEM/Log Analytics
# Configurer une alerte pour les activations de rôles élevés
New-AzMetricAlertRuleV2 -Name "PIM-HighPrivilegeActivation" -ResourceGroupName "Security-Alerts" -TargetResourceId "/subscriptions/{subscription-id}/providers/Microsoft.AzureActiveDirectory"

Valeur par défaut : Alertes de base activées

1.9 — COMPTES D’URGENCE

1.9.1 — Comptes break-glass configurés et protégés

Niveau : 🔴
Référence CIS : CIS Azure 1.3.1
MITRE ATT&CK : T1078.004

Description : Configurer et maintenir des comptes d’urgence (break-glass) pour l’accès d’urgence en cas de défaillance des systèmes d’authentification normaux.

Vérification :

  • Portal > Azure AD > Users > Rechercher comptes emergency/breakglass
  • CLI: az ad user list –query “[?contains(userPrincipalName,’emergency’)]”
  • PowerShell: Get-AzureADUser | Where-Object {$_.UserPrincipalName -like “emergency”}

Remédiation :

  1. Créer 2 comptes d’urgence avec mots de passe forts
  2. Exclure de toutes les politiques d’accès conditionnel
  3. Stocker les identifiants dans un coffre-fort physique
  4. Documenter les procédures d’utilisation
# Créer un compte d'urgence
New-AzureADUser -DisplayName "Emergency Admin 01" -UserPrincipalName "emergency01@domain.com" -PasswordProfile @{Password="ComplexPassword123!"; ForceChangePasswordNextLogin=$false} -AccountEnabled $true

Valeur par défaut : Non configuré

1.9.2 — Surveillance des comptes d’urgence

Niveau : 🔴
Référence CIS : CIS Azure 1.3.2
MITRE ATT&CK : T1078.004

Description : Implémenter une surveillance stricte des comptes d’urgence avec alertes en temps réel pour toute utilisation.

Vérification :

  • Portal > Azure AD > Sign-ins > Filtrer par comptes emergency
  • CLI: az monitor activity-log list –caller “emergency01@domain.com
  • PowerShell: Get-AzureADAuditSignInLogs -Filter “userPrincipalName eq ’emergency01@domain.com’”

Remédiation :

  1. Créer des alertes Log Analytics pour les connexions des comptes d’urgence
  2. Configurer des notifications immé

RÉCAPITULATIF SECTION S1 - IAM

Sous-section Total contrôles 🔴 Critique 🟠 Élevé 🟡 Moyen 🟢 Faible
1.1 MFA 3 2 1 0 0
1.2 Conditional Access 3 0 3 0 0
1.3 PIM 3 1 1 1 0
1.4 RBAC 3 1 1 1 0
1.5 Service Principals 3 0 3 0 0
1.6 Guest Users 2 0 1 1 0
1.7 Break-glass 2 1 1 0 0
1.8 Password Policy 2 0 2 0 0
1.9 Audit IAM 2 0 2 0 0
TOTAL S1 23 5 15 3 0

S2 — MICROSOFT DEFENDER FOR CLOUD

2.1 — ACTIVATION ET CONFIGURATION DEFENDER

2.1.1 — Defender for Cloud activé sur toutes les souscriptions

Niveau : 🔴
Référence CIS : CIS Azure 2.1
MITRE ATT&CK : T1562.001

Description : Microsoft Defender for Cloud doit être activé avec niveau Standard/Paid sur toutes les souscriptions pour la détection de menaces et l’évaluation de sécurité continue.

Vérification :

  • Portal > Microsoft Defender for Cloud > Environment settings
  • CLI: az security pricing list –query “value[].{name:name,tier:pricingTier}”
  • PowerShell: Get-AzSecurityPricing

Remédiation :

  1. Defender for Cloud > Environment settings
  2. Sélectionner chaque souscription
  3. Activer tous les Defender plans (Servers, Storage, SQL, etc.)
  4. Configurer Log Analytics workspace

Valeur par défaut : Free tier activé

2.1.2 — Plans Defender activés par type de ressource

Niveau : 🔴
Référence CIS : CIS Azure 2.1.1
MITRE ATT&CK : T1562.001

Description : Tous les plans Defender spécialisés doivent être activés : Servers, App Service, Storage, SQL, Kubernetes, Container Registries, Key Vault, Resource Manager, DNS.

Vérification :

  • Portal > Defender for Cloud > Environment settings > Plans
  • CLI: az security pricing show –name VirtualMachines
  • PowerShell: Get-AzSecurityPricing | Where-Object {BEGIN___COMMAND_OUTPUT_MARKER.Name -eq “VirtualMachines”}

Remédiation :

  1. Environment settings > Subscription > Plans
  2. Activer chaque plan individuellement :
    • Defender for Servers (Plan 2)
    • Defender for App Service
    • Defender for Storage
    • Defender for SQL
    • Defender for Kubernetes
    • Defender for Container Registries
    • Defender for Key Vault

Valeur par défaut : Plans désactivés individuellement

2.1.3 — Auto-provisioning activé pour agents de sécurité

Niveau : 🟠
Référence CIS : CIS Azure 2.1.2
MITRE ATT&CK : T1562.001

Description : Le provisioning automatique des agents Log Analytics et Dependency Agent doit être activé pour permettre la collecte automatique des données de sécurité.

Vérification :

  • Portal > Defender for Cloud > Environment settings > Auto provisioning
  • CLI: az security auto-provisioning-setting list
  • PowerShell: Get-AzSecurityAutoProvisioningSetting

Remédiation :

  1. Environment settings > Auto provisioning
  2. Log Analytics agent for Azure VMs : ON
  3. Vulnerability assessment for machines : ON
  4. Configurer workspace Log Analytics cible

Valeur par défaut : Auto-provisioning désactivé

2.2 — CLOUD SECURITY POSTURE MANAGEMENT (CSPM)

2.2.1 — Secure Score monitoring et amélioration

Niveau : 🟠
Référence CIS : CIS Azure 2.2
MITRE ATT&CK : T1562

Description : Le Secure Score doit être surveillé régulièrement avec objectif d’amélioration continue. Score minimum acceptable : 70% pour production.

Vérification :

  • Portal > Defender for Cloud > Secure Score
  • CLI: az security secure-score list
  • PowerShell: Get-AzSecuritySecureScore

Remédiation :

  1. Établir baseline actuel du Secure Score
  2. Prioriser recommandations High/Medium impact
  3. Plan d’amélioration mensuel
  4. Monitoring automatisé avec alertes si score < 70%

Valeur par défaut : Variable selon configuration

2.2.2 — Recommandations de sécurité priorisées et traitées

Niveau : 🟠
Référence CIS : CIS Azure 2.2.1
MITRE ATT&CK : T1562

Description : Les recommandations de sécurité critiques et de haut impact doivent être traitées dans les délais définis : 7 jours pour critique, 30 jours pour élevé.

Vérification :

  • Portal > Defender for Cloud > Recommendations
  • CLI: az security task list –query “value[?state==‘Active’]”
  • PowerShell: Get-AzSecurityTask | Where-Object {BEGIN___COMMAND_OUTPUT_MARKER.State -eq “Active”}

Remédiation :

  1. Classification des recommandations par criticité
  2. Workflow de traitement avec SLA définis
  3. Assignation responsables par type de recommandation
  4. Tracking et reporting hebdomadaire

Valeur par défaut : Recommandations générées mais non traitées

2.2.3 — Compliance frameworks activés et surveillés

Niveau : 🟡
Référence CIS : CIS Azure 2.2.2
MITRE ATT&CK : T1562

Description : Les frameworks de compliance requis doivent être activés et surveillés : Azure Security Benchmark, CIS, PCI DSS, ISO 27001 selon les besoins métier.

Vérification :

  • Portal > Defender for Cloud > Regulatory compliance
  • CLI: az security regulatory-compliance-standards list
  • PowerShell: Get-AzSecurityRegulatoryComplianceStandard

Remédiation :

  1. Regulatory compliance > Add standards
  2. Activer frameworks requis pour l’organisation
  3. Monitoring des scores de compliance
  4. Reporting compliance mensuel

Valeur par défaut : Azure Security Benchmark activé

2.3 — THREAT PROTECTION ET DETECTION

2.3.1 — Defender for Servers configuration avancée

Niveau : 🔴
Référence CIS : CIS Azure 2.3
MITRE ATT&CK : T1055

Description : Defender for Servers Plan 2 doit être configuré avec toutes les fonctionnalités de détection : comportemental, réseau, file integrity monitoring, adaptive application controls.

Vérification :

  • Portal > Defender for Cloud > Workload protections > Servers
  • CLI: az security pricing show –name VirtualMachines
  • PowerShell: Get-AzSecurityPricing -Name “VirtualMachines”

Remédiation :

  1. Activer Defender for Servers Plan 2
  2. Configurer File Integrity Monitoring
  3. Activer Adaptive Application Controls
  4. Configurer Just-in-Time VM access

Valeur par défaut : Plan 1 ou désactivé

2.3.2 — Defender for Storage avec protection malware

Niveau : 🟠
Référence CIS : CIS Azure 2.3.1
MITRE ATT&CK : T1204.002

Description : Defender for Storage doit inclure la protection contre les malwares et la détection d’anomalies d’accès pour tous les comptes de stockage critiques.

Vérification :

  • Portal > Defender for Cloud > Workload protections > Storage
  • CLI: az security pricing show –name StorageAccounts
  • PowerShell: Get-AzSecurityPricing -Name “StorageAccounts”

Remédiation :

  1. Activer Defender for Storage
  2. Configurer malware scanning
  3. Activer sensitive data discovery
  4. Configurer alertes accès anormaux

Valeur par défaut : Désactivé

2.3.3 — Defender for SQL avec Advanced Threat Protection

Niveau : 🟠
Référence CIS : CIS Azure 2.3.2
MITRE ATT&CK : T1190

Description : Defender for SQL doit être activé avec Advanced Threat Protection pour détecter injections SQL, accès anormaux, et activités suspectes.

Vérification :

  • Portal > Defender for Cloud > Workload protections > Databases
  • CLI: az security pricing show –name SqlServers
  • PowerShell: Get-AzSecurityPricing -Name “SqlServers”

Remédiation :

  1. Activer Defender for SQL servers
  2. Activer Defender for SQL databases
  3. Configurer email notifications
  4. Intégration avec SIEM/Sentinel

Valeur par défaut : Désactivé

2.4 — INTÉGRATION ET ALERTING

2.4.1 — Intégration avec Azure Sentinel/SIEM

Niveau : 🟠
Référence CIS : CIS Azure 2.4
MITRE ATT&CK : T1562.001

Description : Les alertes Defender for Cloud doivent être intégrées avec Azure Sentinel ou SIEM externe pour corrélation et réponse aux incidents.

Vérification :

  • Portal > Defender for Cloud > Security alerts > Export settings
  • CLI: az security automation list
  • PowerShell: Get-AzSecurityAutomation

Remédiation :

  1. Defender for Cloud > Security alerts > Export settings
  2. Configurer continuous export vers Log Analytics
  3. Ou configurer connector SIEM externe
  4. Vérifier réception des alertes dans SIEM

Valeur par défaut : Pas d’export automatique

2.4.2 — Notifications email des alertes critiques

Niveau : 🟠
Référence CIS : CIS Azure 2.4.1
MITRE ATT&CK : T1562.001

Description : Les alertes de sécurité de niveau High et Critical doivent déclencher des notifications email automatiques vers l’équipe de sécurité.

Vérification :

  • Portal > Defender for Cloud > Environment settings > Email notifications
  • CLI: az security contact list
  • PowerShell: Get-AzSecurityContact

Remédiation :

  1. Environment settings > Email notifications
  2. Configurer email addresses SOC/Security team
  3. Activer notifications pour alertes High severity
  4. Tester réception des notifications

Valeur par défaut : Notifications désactivées

2.4.3 — Automation et réponse automatique

Niveau : 🟡
Référence CIS : CIS Azure 2.4.2
MITRE ATT&CK : T1562.001

Description : Des règles d’automation doivent être configurées pour répondre automatiquement aux alertes communes : isolement VM, blocage IP, escalade vers équipe sécurité.

Vérification :

  • Portal > Defender for Cloud > Workflow automation
  • CLI: az security automation list
  • PowerShell: Get-AzSecurityAutomation

Remédiation :

  1. Workflow automation > Add workflow automation
  2. Trigger : Security alerts avec conditions
  3. Actions : Logic Apps, Function Apps, ou Webhooks
  4. Exemples : isolement network, ticket ITSM

Valeur par défaut : Aucune automation configurée

2.5 — VULNERABILITY MANAGEMENT

2.5.1 — Évaluation des vulnérabilités VMs activée

Niveau : 🟠
Référence CIS : CIS Azure 2.5
MITRE ATT&CK : T1203

Description : L’évaluation automatique des vulnérabilités doit être activée sur toutes les VMs avec remédiation priorisée selon CVSS score.

Vérification :

  • Portal > Defender for Cloud > Recommendations > Vulnerability findings
  • CLI: az security va-solution list
  • PowerShell: Get-AzSecurityVulnerabilityAssessment

Remédiation :

  1. Activer vulnerability assessment solution (Qualys ou Microsoft)
  2. Déploiement automatique sur toutes VMs
  3. Planification scans réguliers
  4. Workflow remédiation vulnérabilités High/Critical

Valeur par défaut : Désactivé

2.5.2 — Container image vulnerability scanning

Niveau : 🟠
Référence CIS : CIS Azure 2.5.1
MITRE ATT&CK : T1203

Description : Les images de conteneurs doivent être scannées automatiquement pour les vulnérabilités lors du push vers Azure Container Registry.

Vérification :

  • Portal > Container Registry > Repository > Vulnerability scan results
  • CLI: az acr task show –registry –name
  • PowerShell: Get-AzContainerRegistryTask

Remédiation :

  1. Activer Defender for Container Registries
  2. Configurer scan automatique au push
  3. Politiques de blocage images vulnérables
  4. Processus update régulier des base images

Valeur par défaut : Scan manuel uniquement

2.6 — COMPLIANCE ET GOUVERNANCE

2.6.1 — Azure Policy integration avec Defender

Niveau : 🟡
Référence CIS : CIS Azure 2.6
MITRE ATT&CK : T1562

Description : Les recommandations Defender for Cloud doivent être intégrées avec Azure Policy pour enforcement automatique des configurations de sécurité.

Vérification :

  • Portal > Policy > Assignments > Security Center initiatives
  • CLI: az policy assignment list –query “[?contains(displayName,‘Security’)]”
  • PowerShell: Get-AzPolicyAssignment | Where-Object {BEGIN___COMMAND_OUTPUT_MARKER.Properties.displayName -like “Security”}

Remédiation :

  1. Assign Azure Security Benchmark initiative
  2. Configurer remediation automatique quand possible
  3. Review non-compliance resources régulièrement
  4. Exceptions documentées et approuvées

Valeur par défaut : Initiative ASB non assignée

2.6.2 — Inventaire et classification des assets

Niveau : 🟡
Référence CIS : CIS Azure 2.6.1
MITRE ATT&CK : T1083

Description : Un inventaire complet des ressources Azure doit être maintenu avec classification de criticité pour prioriser les efforts de sécurisation.

Vérification :

  • Portal > Defender for Cloud > Asset inventory
  • CLI: az graph query -q “Resources | project name, type, resourceGroup, subscriptionId”
  • PowerShell: Search-AzGraph -Query “Resources | project name, type, resourceGroup”

Remédiation :

  1. Utiliser Asset inventory de Defender for Cloud
  2. Tagging des ressources avec niveau criticité
  3. Filtres et vues par criticité/environnement
  4. Révision inventaire mensuelle

Valeur par défaut : Inventaire basique sans classification

RÉCAPITULATIF SECTION S2 - DEFENDER FOR CLOUD

Sous-section Total contrôles 🔴 Critique 🟠 Élevé 🟡 Moyen 🟢 Faible
2.1 Activation Defender 3 2 1 0 0
2.2 CSPM 3 0 2 1 0
2.3 Threat Protection 3 1 2 0 0
2.4 Intégration Alerting 3 0 2 1 0
2.5 Vulnerability Mgmt 2 0 2 0 0
2.6 Compliance 2 0 0 2 0
TOTAL S2 16 3 9 4 0

S3 — SÉCURITÉ DU STOCKAGE

3.1 — CHIFFREMENT ET PROTECTION DES DONNÉES

3.1.1 — Chiffrement au repos activé pour Storage Accounts

Niveau : 🔴
Référence CIS : CIS Azure 3.1
MITRE ATT&CK : T1486

Description : Le chiffrement au repos doit être activé sur tous les comptes de stockage Azure avec des clés managées par Microsoft ou Customer Managed Keys pour les données sensibles.

Vérification :

  • Portal > Storage accounts > Encryption
  • CLI: az storage account show –name –query “encryption”
  • PowerShell: Get-AzStorageAccount | Select-Object StorageAccountName,Encryption

Remédiation :

  1. Portal > Storage account > Security + networking > Encryption
  2. Vérifier “Encryption at rest” activé
  3. Pour données sensibles : configurer Customer Managed Keys
  4. Rotation automatique des clés si CMK

Valeur par défaut : Chiffrement Microsoft-managed activé

3.1.2 — Secure transfer (HTTPS) obligatoire

Niveau : 🔴
Référence CIS : CIS Azure 3.1.1
MITRE ATT&CK : T1040

Description : L’option “Secure transfer required” doit être activée pour forcer l’utilisation de HTTPS/SMB 3.0 et bloquer les connexions HTTP non sécurisées.

Vérification :

  • Portal > Storage accounts > Configuration > Secure transfer required
  • CLI: az storage account show –name –query “enableHttpsTrafficOnly”
  • PowerShell: Get-AzStorageAccount | Select-Object StorageAccountName,EnableHttpsTrafficOnly

Remédiation :

  1. Storage account > Configuration
  2. Secure transfer required : Enabled
  3. Validation : tester qu’HTTP est bloqué
  4. Mettre à jour applications pour utiliser HTTPS

Valeur par défaut : Enabled (depuis 2019)

3.1.3 — Minimum TLS version configurée (1.2)

Niveau : 🟠
Référence CIS : CIS Azure 3.1.2
MITRE ATT&CK : T1040

Description : La version TLS minimale acceptée doit être configurée à 1.2 pour éviter l’utilisation de protocoles cryptographiques faibles.

Vérification :

  • Portal > Storage accounts > Configuration > Minimum TLS version
  • CLI: az storage account show –name –query “minimumTlsVersion”
  • PowerShell: Get-AzStorageAccount | Select-Object StorageAccountName,MinimumTlsVersion

Remédiation :

  1. Storage account > Configuration
  2. Minimum TLS version : Version 1.2
  3. Tester compatibilité applications existantes
  4. Monitoring des rejets de connexions TLS < 1.2

Valeur par défaut : TLS 1.0 (legacy)

3.2 — GESTION DES CLÉS ET ACCÈS

3.2.1 — Rotation automatique des clés d’accès

Niveau : 🟠
Référence CIS : CIS Azure 3.2
MITRE ATT&CK : T1552.001

Description : Les clés d’accès des comptes de stockage doivent être régénérées périodiquement (90 jours maximum) avec processus de rotation sans interruption.

Vérification :

  • Portal > Storage accounts > Access keys > Regenerate
  • CLI: az storage account keys list –account-name
  • PowerShell: Get-AzStorageAccountKey -ResourceGroupName -StorageAccountName

Remédiation :

  1. Documenter processus rotation (key1 puis key2)
  2. Mettre à jour applications avec nouvelle clé
  3. Automatisation via Key Vault + Logic Apps
  4. Test avant suppression ancienne clé

Valeur par défaut : Pas de rotation automatique

3.2.2 — Shared Access Signatures (SAS) avec durée limitée

Niveau : 🟠
Référence CIS : CIS Azure 3.2.1
MITRE ATT&CK : T1552.001

Description : Les SAS tokens doivent avoir une durée de validité limitée (24 heures maximum pour production) et des permissions minimales selon le principe du moindre privilège.

Vérification :

  • Portal > Storage Explorer > Generate SAS
  • CLI: az storage blob generate-sas –help (vérifier –expiry)
  • PowerShell: New-AzStorageBlobSASToken -ExpiryTime

Remédiation :

  1. Audit des SAS existants et leur durée
  2. Politique max 24h pour SAS de production
  3. Permissions minimales (read-only si possible)
  4. Utiliser Service/Account SAS plutôt que Ad-hoc

Valeur par défaut : Durée configurable, souvent excessive

3.2.3 — Stored Access Policies pour SAS management

Niveau : 🟡
Référence CIS : CIS Azure 3.2.2
MITRE ATT&CK : T1552.001

Description : Les Stored Access Policies doivent être utilisées pour gérer centralement les permissions SAS et permettre la révocation immédiate.

Vérification :

  • Portal > Storage account > Containers > Access policy
  • CLI: az storage container policy list –container-name
  • PowerShell: Get-AzStorageContainerStoredAccessPolicy

Remédiation :

  1. Créer Stored Access Policies par use case
  2. Générer SAS basés sur ces policies
  3. Révocation possible via suppression policy
  4. Documentation des policies et leur usage

Valeur par défaut : Aucune policy pré-configurée

3.3 — CONTRÔLES D’ACCÈS RÉSEAU

3.3.1 — Firewall Storage Account configuré

Niveau : 🟠
Référence CIS : CIS Azure 3.3
MITRE ATT&CK : T1095

Description : Les règles de firewall doivent restreindre l’accès aux comptes de stockage aux réseaux autorisés uniquement, bloquant l’accès public par défaut.

Vérification :

  • Portal > Storage account > Security + networking > Firewalls and virtual networks
  • CLI: az storage account show –name –query “networkRuleSet”
  • PowerShell: Get-AzStorageAccount | Select-Object NetworkRuleSet

Remédiation :

  1. Storage account > Firewalls and virtual networks
  2. Selected networks (pas “All networks”)
  3. Ajouter VNets/Subnets autorisés
  4. Ajouter IPs publiques si nécessaire (bureaux)

Valeur par défaut : All networks (accès public)

3.3.2 — Private Endpoints pour accès sécurisé

Niveau : 🟠
Référence CIS : CIS Azure 3.3.1
MITRE ATT&CK : T1095

Description : Des Private Endpoints doivent être configurés pour l’accès aux comptes de stockage critiques depuis les VNets Azure, évitant le transit par Internet.

Vérification :

  • Portal > Storage account > Security + networking > Private endpoint connections
  • CLI: az network private-endpoint list –query “[?privateLinkServiceConnections[0].groupIds[0]==‘blob’]”
  • PowerShell: Get-AzPrivateEndpoint | Where-Object {BEGIN___COMMAND_OUTPUT_MARKER.PrivateLinkServiceConnections.GroupIds -contains “blob”}

Remédiation :

  1. Storage account > Private endpoint connections > Add
  2. Créer Private Endpoint dans VNet cible
  3. Configurer Private DNS zone
  4. Tester connectivité interne

Valeur par défaut : Pas de Private Endpoint

3.3.3 — Disable public blob access si non requis

Niveau : 🟠
Référence CIS : CIS Azure 3.3.2
MITRE ATT&CK : T1190

Description : L’accès public aux blobs doit être désactivé au niveau du compte de stockage si aucun blob ne doit être accessible publiquement.

Vérification :

  • Portal > Storage account > Configuration > Allow Blob public access
  • CLI: az storage account show –name –query “allowBlobPublicAccess”
  • PowerShell: Get-AzStorageAccount | Select-Object StorageAccountName,AllowBlobPublicAccess

Remédiation :

  1. Storage account > Configuration
  2. Allow Blob public access : Disabled
  3. Validation : aucun container public requis
  4. Alternative : SAS tokens pour accès externe

Valeur par défaut : Enabled

3.4 — LOGGING ET MONITORING

3.4.1 — Storage Analytics et monitoring activés

Niveau : 🟠
Référence CIS : CIS Azure 3.4
MITRE ATT&CK : T1562.001

Description : Storage Analytics doit être activé pour logger toutes les opérations de lecture/écriture/suppression avec rétention appropriée (90 jours minimum).

Vérification :

  • Portal > Storage account > Monitoring > Insights
  • CLI: az monitor diagnostic-settings list –resource
  • PowerShell: Get-AzDiagnosticSetting -ResourceId

Remédiation :

  1. Storage account > Monitoring > Diagnostic settings
  2. Activer logs pour Blob, Queue, Table, File
  3. Destination : Log Analytics workspace
  4. Retention : 90 jours minimum

Valeur par défaut : Logging minimal

3.4.2 — Alertes sur activités suspectes de stockage

Niveau : 🟡
Référence CIS : CIS Azure 3.4.1
MITRE ATT&CK : T1562.001

Description : Des alertes doivent être configurées pour détecter les activités anormales : accès depuis IPs non autorisées, volume de données anormal, suppressions en masse.

Vérification :

  • Portal > Azure Monitor > Alerts > Alert rules
  • CLI: az monitor metrics alert list
  • PowerShell: Get-AzMetricAlertRuleV2

Remédiation :

  1. Azure Monitor > Alerts > New alert rule
  2. Scope : Storage account
  3. Conditions : Transactions anomales, Errors, etc.
  4. Action groups : notification équipe sécurité

Valeur par défaut : Pas d’alertes configurées

3.5 — PROTECTION AVANCÉE DES DONNÉES

3.5.1 — Advanced Threat Protection activé

Niveau : 🟠
Référence CIS : CIS Azure 3.5
MITRE ATT&CK : T1204.002

Description : Advanced Threat Protection (Defender for Storage) doit être activé pour détecter les malwares, accès anormaux, et exfiltration de données.

Vérification :

  • Portal > Defender for Cloud > Workload protections > Storage
  • CLI: az security pricing show –name StorageAccounts
  • PowerShell: Get-AzSecurityPricing -Name “StorageAccounts”

Remédiation :

  1. Defender for Cloud > Workload protections > Storage
  2. Enable Defender for Storage
  3. Configurer alertes et notifications
  4. Intégration avec Sentinel/SIEM

Valeur par défaut : Désactivé

3.5.2 — Soft delete activé pour blobs et containers

Niveau : 🟡
Référence CIS : CIS Azure 3.5.1
MITRE ATT&CK : T1485

Description : La suppression réversible doit être activée pour les blobs et containers pour permettre la récupération après suppression accidentelle ou malveillante.

Vérification :

  • Portal > Storage account > Data protection > Recovery
  • CLI: az storage account blob-service-properties show –account-name
  • PowerShell: Get-AzStorageBlobServiceProperty

Remédiation :

  1. Storage account > Data protection > Recovery
  2. Enable soft delete for blobs : 30 jours
  3. Enable soft delete for containers : 30 jours
  4. Test procédure de récupération

Valeur par défaut : Désactivé

3.5.3 — Versioning des blobs activé

Niveau : 🟡
Référence CIS : CIS Azure 3.5.2
MITRE ATT&CK : T1485

Description : Le versioning des blobs doit être activé pour les données critiques afin de maintenir l’historique des modifications et permettre la restauration.

Vérification :

  • Portal > Storage account > Data protection > Tracking
  • CLI: az storage account blob-service-properties show –account-name –query “isVersioningEnabled”
  • PowerShell: Get-AzStorageBlobServiceProperty | Select-Object IsVersioningEnabled

Remédiation :

  1. Storage account > Data protection > Tracking
  2. Enable versioning for blobs
  3. Configurer lifecycle management pour versions anciennes
  4. Monitoring de la consommation de stockage

Valeur par défaut : Désactivé

3.6 — BACKUP ET DISASTER RECOVERY

3.6.1 — Géo-réplication configurée selon criticité

Niveau : 🟡
Référence CIS : CIS Azure 3.6
MITRE ATT&CK : T1485

Description : La géo-réplication appropriée doit être configurée selon la criticité des données : LRS pour dev/test, GRS/RA-GRS pour production critique.

Vérification :

  • Portal > Storage account > Overview > Replication
  • CLI: az storage account show –name –query “sku.name”
  • PowerShell: Get-AzStorageAccount | Select-Object StorageAccountName,Sku

Remédiation :

  1. Évaluer criticité des données par storage account
  2. Production critique : Standard_RAGRS ou Standard_GZRS
  3. Non-critique : Standard_LRS ou Standard_ZRS
  4. Test procédures de failover

Valeur par défaut : LRS (réplication locale uniquement)

3.6.2 — Backup automatisé via Azure Backup

Niveau : 🟡
Référence CIS : CIS Azure 3.6.1
MITRE ATT&CK : T1485

Description : Les données critiques doivent être sauvegardées automatiquement via Azure Backup avec rétention selon les exigences métier (7-7-12 minimum).

Vérification :

  • Portal > Recovery Services vault > Backup items > Azure Storage (Azure Files)
  • CLI: az backup item list –resource-group –vault-name
  • PowerShell: Get-AzRecoveryServicesBackupItem

Remédiation :

  1. Créer Recovery Services vault
  2. Configurer backup policy (daily/weekly/monthly)
  3. Activer backup pour Azure Files critiques
  4. Tester procédures de restauration

Valeur par défaut : Pas de backup automatique

RÉCAPITULATIF SECTION S3 - STORAGE SECURITY

Sous-section Total contrôles 🔴 Critique 🟠 Élevé 🟡 Moyen 🟢 Faible
3.1 Chiffrement 3 2 1 0 0
3.2 Gestion clés 3 0 2 1 0
3.3 Accès réseau 3 0 3 0 0
3.4 Logging 2 0 1 1 0
3.5 Protection avancée 3 0 1 2 0
3.6 Backup DR 2 0 0 2 0
TOTAL S3 16 2 8 6 0

S4 — SÉCURITÉ DES BASES DE DONNÉES

4.1 — AZURE SQL DATABASE SECURITY

4.1.1 — Transparent Data Encryption (TDE) activé

Niveau : 🔴
Référence CIS : CIS Azure 4.1
MITRE ATT&CK : T1486

Description : Transparent Data Encryption doit être activé sur toutes les bases de données SQL Azure pour chiffrer les données au repos avec rotation automatique des clés.

Vérification :

  • Portal > SQL database > Security > Transparent data encryption
  • CLI: az sql db tde show –database –server –resource-group
  • PowerShell: Get-AzSqlDatabaseTransparentDataEncryption

Remédiation :

  1. SQL database > Security > Transparent data encryption
  2. Status : ON (activé)
  3. Pour données sensibles : Customer-managed key dans Key Vault
  4. Vérifier performance impact négligeable

Valeur par défaut : Activé par défaut depuis 2017

4.1.2 — SQL Auditing activé avec rétention appropriée

Niveau : 🔴
Référence CIS : CIS Azure 4.1.1
MITRE ATT&CK : T1562.001

Description : L’audit SQL doit être activé au niveau serveur avec logs envoyés vers Log Analytics et rétention minimum 90 jours pour conformité et investigation.

Vérification :

  • Portal > SQL server > Security > Auditing
  • CLI: az sql server audit-policy show –server –resource-group
  • PowerShell: Get-AzSqlServerAudit

Remédiation :

  1. SQL server > Security > Auditing > ON
  2. Destination : Log Analytics workspace
  3. Retention : 90 jours minimum
  4. Audit actions : All actions and groups

Valeur par défaut : Désactivé

4.1.3 — Advanced Data Security activé

Niveau : 🔴
Référence CIS : CIS Azure 4.1.2
MITRE ATT&CK : T1190

Description : Advanced Data Security (maintenant Defender for SQL) doit être activé pour la détection de menaces, évaluation des vulnérabilités et classification des données.

Vérification :

  • Portal > SQL server > Security > Microsoft Defender for Cloud
  • CLI: az security pricing show –name SqlServers
  • PowerShell: Get-AzSecurityPricing -Name “SqlServers”

Remédiation :

  1. SQL server > Security > Microsoft Defender for Cloud > Enable
  2. Configurer notifications email pour alertes
  3. Activer vulnerability assessment avec stockage résultats
  4. Révision régulière des recommandations

Valeur par défaut : Désactivé

4.1.4 — Firewall SQL Server configuré restrictif

Niveau : 🟠
Référence CIS : CIS Azure 4.1.3
MITRE ATT&CK : T1190

Description : Les règles de firewall SQL Server doivent être configurées pour limiter l’accès aux IPs/réseaux autorisés uniquement, avec “Allow Azure services” désactivé si non requis.

Vérification :

  • Portal > SQL server > Security > Firewalls and virtual networks
  • CLI: az sql server firewall-rule list –server –resource-group
  • PowerShell: Get-AzSqlServerFirewallRule

Remédiation :

  1. SQL server > Firewalls and virtual networks
  2. “Allow Azure services and resources to access this server” : OFF si non requis
  3. Ajouter uniquement IPs/ranges nécessaires
  4. Utiliser Virtual Network rules pour VNets

Valeur par défaut : “Allow Azure services” souvent activé

4.1.5 — Azure AD Authentication configurée

Niveau : 🟠
Référence CIS : CIS Azure 4.1.4
MITRE ATT&CK : T1078.004

Description : L’authentification Azure AD doit être configurée comme méthode d’authentification principale, avec désactivation optionnelle de l’authentification SQL.

Vérification :

  • Portal > SQL server > Security > Azure Active Directory admin
  • CLI: az sql server ad-admin show –server –resource-group
  • PowerShell: Get-AzSqlServerActiveDirectoryAdministrator

Remédiation :

  1. SQL server > Security > Azure Active Directory admin
  2. Set admin : Configurer un groupe AD plutôt qu’un utilisateur
  3. Considérer désactiver SQL authentication si AD seul suffisant
  4. Utiliser Managed Identity pour applications

Valeur par défaut : SQL authentication uniquement

4.2 — AZURE SQL MANAGED INSTANCE

4.2.1 — Managed Instance dans VNet privé

Niveau : 🔴
Référence CIS : CIS Azure 4.2
MITRE ATT&CK : T1095

Description : Azure SQL Managed Instance doit être déployé dans un subnet dédié de VNet privé avec NSG appropriés pour isoler le trafic réseau.

Vérification :

  • Portal > SQL managed instance > Overview > Virtual network/subnet
  • CLI: az sql mi show –name –resource-group –query “subnetId”
  • PowerShell: Get-AzSqlInstance | Select-Object SubnetId

Remédiation :

  1. Déploiement dans subnet dédié (/27 minimum)
  2. NSG avec règles restrictives
  3. Route table configurée si nécessaire
  4. Pas d’endpoint public sauf exception justifiée

Valeur par défaut : Configuration lors du déploiement

4.2.2 — TLS 1.2 minimum pour Managed Instance

Niveau : 🟠
Référence CIS : CIS Azure 4.2.1
MITRE ATT&CK : T1040

Description : La version TLS minimale doit être configurée à 1.2 pour toutes les connexions vers SQL Managed Instance.

Vérification :

  • Portal > SQL managed instance > Security > Networking
  • CLI: az sql mi show –name –resource-group –query “minimalTlsVersion”
  • PowerShell: Get-AzSqlInstance | Select-Object MinimalTlsVersion

Remédiation :

  1. SQL managed instance > Security > Networking
  2. Minimal TLS version : 1.2
  3. Tester compatibilité applications
  4. Monitoring des rejets connexions TLS < 1.2

Valeur par défaut : TLS 1.0

4.3 — POSTGRESQL ET MYSQL

4.3.1 — SSL enforcement activé PostgreSQL/MySQL

Niveau : 🔴
Référence CIS : CIS Azure 4.3
MITRE ATT&CK : T1040

Description : L’application SSL doit être activée sur tous les serveurs Azure Database for PostgreSQL et MySQL pour chiffrer les communications.

Vérification :

  • Portal > Azure Database > Connection security > SSL enforcement
  • CLI: az postgres server show –name –query “sslEnforcement”
  • PowerShell: Get-AzPostgreSqlServer | Select-Object SslEnforcement

Remédiation :

  1. Azure Database > Connection security
  2. SSL enforcement : ENABLED
  3. Minimum TLS version : 1.2
  4. Mettre à jour chaînes connexion applications

Valeur par défaut : ENABLED par défaut

4.3.2 — Firewall PostgreSQL/MySQL restrictif

Niveau : 🟠
Référence CIS : CIS Azure 4.3.1
MITRE ATT&CK : T1190

Description : Les règles de firewall des serveurs PostgreSQL/MySQL doivent être configurées pour limiter l’accès aux sources autorisées uniquement.

Vérification :

  • Portal > Azure Database > Connection security > Firewall rules
  • CLI: az postgres server firewall-rule list –server-name
  • PowerShell: Get-AzPostgreSqlFirewallRule

Remédiation :

  1. Azure Database > Connection security > Firewall rules
  2. “Allow access to Azure services” : OFF si non requis
  3. Ajouter uniquement IPs/ranges nécessaires
  4. Utiliser Private Endpoints quand possible

Valeur par défaut : “Allow Azure services” souvent activé

4.3.3 — Backup automatique avec rétention appropriée

Niveau : 🟠
Référence CIS : CIS Azure 4.3.2
MITRE ATT&CK : T1485

Description : Les sauvegardes automatiques doivent être configurées avec rétention appropriée (7-35 jours) et géo-redondance pour les environnements critiques.

Vérification :

  • Portal > Azure Database > Overview > Backup retention period
  • CLI: az postgres server show –name –query “backupRetentionDays”
  • PowerShell: Get-AzPostgreSqlServer | Select-Object BackupRetentionDay

Remédiation :

  1. Configuration lors du déploiement ou via support
  2. Retention period : 7 jours minimum, 35 pour production
  3. Geo-redundant backup pour environnements critiques
  4. Test procédures de restauration

Valeur par défaut : 7 jours, locally redundant

4.4 — COSMOS DB SECURITY

4.4.1 — Chiffrement Cosmos DB avec Customer Managed Keys

Niveau : 🟠
Référence CIS : CIS Azure 4.4
MITRE ATT&CK : T1486

Description : Cosmos DB doit utiliser le chiffrement avec Customer Managed Keys stockées dans Azure Key Vault pour les données sensibles.

Vérification :

  • Portal > Cosmos DB account > Settings > Encryption
  • CLI: az cosmosdb show –name –query “keyVaultKeyUri”
  • PowerShell: Get-AzCosmosDBAccount | Select-Object KeyVaultKeyUri

Remédiation :

  1. Créer Key Vault avec clé de chiffrement
  2. Cosmos DB > Settings > Encryption
  3. Configurer Customer Managed Key
  4. Vérifier rotation automatique des clés

Valeur par défaut : Microsoft-managed keys

4.4.2 — Firewall Cosmos DB configuré

Niveau : 🟠
Référence CIS : CIS Azure 4.4.1
MITRE ATT&CK : T1190

Description : Le firewall IP de Cosmos DB doit être configuré pour restreindre l’accès aux sources autorisées, avec désactivation de l’accès public si non requis.

Vérification :

  • Portal > Cosmos DB account > Settings > Firewalls and virtual networks
  • CLI: az cosmosdb show –name –query “ipRules”
  • PowerShell: Get-AzCosmosDBAccount | Select-Object IpRules

Remédiation :

  1. Cosmos DB > Firewalls and virtual networks
  2. “Allow access from Azure Portal” : OFF si non requis
  3. “Allow access from Azure datacenters” : OFF si non requis
  4. Ajouter uniquement IPs autorisées

Valeur par défaut : Accès public autorisé

4.4.3 — Private Endpoints pour Cosmos DB

Niveau : 🟡
Référence CIS : CIS Azure 4.4.2
MITRE ATT&CK : T1095

Description : Des Private Endpoints doivent être configurés pour l’accès sécurisé à Cosmos DB depuis les VNets Azure sans transit par Internet.

Vérification :

  • Portal > Cosmos DB account > Settings > Private endpoint connections
  • CLI: az network private-endpoint list –query “[?privateLinkServiceConnections[0].groupIds[0]==‘Sql’]”
  • PowerShell: Get-AzPrivateEndpoint | Where-Object {BEGIN___COMMAND_OUTPUT_MARKER.PrivateLinkServiceConnections.GroupIds -contains “Sql”}

Remédiation :

  1. Cosmos DB > Private endpoint connections > Add
  2. Créer Private Endpoint dans VNet approprié
  3. Configurer Private DNS zone
  4. Désactiver accès public après validation

Valeur par défaut : Pas de Private Endpoint

4.5 — DATABASE MONITORING ET COMPLIANCE

4.5.1 — Log Analytics intégration pour databases

Niveau : 🟠
Référence CIS : CIS Azure 4.5
MITRE ATT&CK : T1562.001

Description : Tous les logs de base de données doivent être centralisés dans Log Analytics pour monitoring, alerting et investigation de sécurité.

Vérification :

  • Portal > Database > Monitoring > Diagnostic settings
  • CLI: az monitor diagnostic-settings list –resource
  • PowerShell: Get-AzDiagnosticSetting -ResourceId

Remédiation :

  1. Database > Monitoring > Diagnostic settings
  2. Activer tous les logs pertinents (Audit, Errors, etc.)
  3. Destination : Log Analytics workspace
  4. Retention : 90 jours minimum

Valeur par défaut : Logging minimal

4.5.2 — Alertes sur activités suspectes base de données

Niveau : 🟠
Référence CIS : CIS Azure 4.5.1
MITRE ATT&CK : T1562.001

Description : Des alertes doivent être configurées pour détecter les activités anormales : connexions depuis IPs inhabituelles, requêtes suspectes, échecs d’authentification répétés.

Vérification :

  • Portal > Azure Monitor > Alerts > Alert rules (scope: databases)
  • CLI: az monitor metrics alert list –resource-group
  • PowerShell: Get-AzMetricAlertRuleV2

Remédiation :

  1. Azure Monitor > Alerts > New alert rule
  2. Scope : Database resources
  3. Conditions : Failed connections, CPU high, etc.
  4. Action groups : SOC notification

Valeur par défaut : Pas d’alertes configurées

4.5.3 — Data Discovery et Classification activées

Niveau : 🟡
Référence CIS : CIS Azure 4.5.2
MITRE ATT&CK : T1083

Description : La découverte et classification automatique des données sensibles doit être activée pour identifier et protéger les informations personnelles et confidentielles.

Vérification :

  • Portal > SQL database > Security > Data Discovery & Classification
  • CLI: Vérification via Azure Resource Graph ou API REST
  • PowerShell: Utilisation des cmdlets SQL ou Resource Graph

Remédiation :

  1. SQL database > Security > Data Discovery & Classification
  2. Lancer scan automatique
  3. Révision et validation des classifications
  4. Application labels de sensibilité

Valeur par défaut : Scan manuel

4.6 — ACCESS CONTROL ET PERMISSIONS

4.6.1 — Principe du moindre privilège pour accès DB

Niveau : 🟠
Référence CIS : CIS Azure 4.6
MITRE ATT&CK : T1078

Description : Les permissions d’accès aux bases de données doivent suivre le principe du moindre privilège avec séparation des environnements et rôles granulaires.

Vérification :

  • Portal > Database > Access control (IAM)
  • SQL: SELECT name, type_desc FROM sys.database_principals
  • PowerShell: Get-AzRoleAssignment -Scope

Remédiation :

  1. Audit des permissions actuelles
  2. Création de rôles granulaires par fonction
  3. Suppression des permissions excessives
  4. Séparation prod/dev/test

Valeur par défaut : Permissions souvent excessives

4.6.2 — Comptes de service avec Managed Identity

Niveau : 🟠
Référence CIS : CIS Azure 4.6.1
MITRE ATT&CK : T1078.004

Description : Les applications doivent utiliser Managed Identity pour l’authentification aux bases de données Azure plutôt que des chaînes de connexion avec mots de passe.

Vérification :

  • Portal > Application > Identity > System assigned/User assigned
  • Code : vérifier utilisation DefaultAzureCredential
  • PowerShell: Get-AzWebApp | Select-Object Identity

Remédiation :

  1. Activer Managed Identity sur App Service/VM
  2. Configurer permissions database pour l’identity
  3. Modifier code application (DefaultAzureCredential)
  4. Supprimer chaînes connexion avec mots de passe

Valeur par défaut : Chaînes de connexion avec mots de passe

RÉCAPITULATIF SECTION S4 - DATABASE SECURITY

Sous-section Total contrôles 🔴 Critique 🟠 Élevé 🟡 Moyen 🟢 Faible
4.1 Azure SQL Database 5 3 2 0 0
4.2 SQL Managed Instance 2 1 1 0 0
4.3 PostgreSQL/MySQL 3 1 2 0 0
4.4 Cosmos DB 3 0 2 1 0
4.5 Monitoring 3 0 2 1 0
4.6 Access Control 2 0 2 0 0
TOTAL S4 18 5 11 2 0

S5 — LOGGING ET SURVEILLANCE

5.1 — AZURE ACTIVITY LOG

5.1.1 — Activity Log retention configurée appropriée

Niveau : 🔴
Référence CIS : CIS Azure 5.1
MITRE ATT&CK : T1562.001

Description : L’Azure Activity Log doit être configuré avec une rétention de 90 jours minimum et exporté vers Log Analytics pour analyse et conformité réglementaire.

Vérification :

  • Portal > Monitor > Activity Log > Export Activity Logs
  • CLI: az monitor diagnostic-settings list –resource “/subscriptions/
  • PowerShell: Get-AzDiagnosticSetting -ResourceId “/subscriptions/

Remédiation :

  1. Monitor > Activity Log > Export Activity Logs
  2. Diagnostic settings > Add diagnostic setting
  3. Logs : Administrative, Security, Alert, Policy
  4. Destination : Log Analytics workspace

Valeur par défaut : 90 jours dans Activity Log, pas d’export

5.1.2 — Alertes Activity Log pour actions critiques

Niveau : 🔴
Référence CIS : CIS Azure 5.1.1
MITRE ATT&CK : T1562.001

Description : Des alertes doivent être configurées pour les actions critiques dans Activity Log : création/suppression de ressources, modifications NSG, changements RBAC.

Vérification :

  • Portal > Monitor > Alerts > Alert rules
  • CLI: az monitor activity-log alert list
  • PowerShell: Get-AzActivityLogAlert

Remédiation :

  1. Monitor > Alerts > New alert rule
  2. Scope : Subscription
  3. Condition : Activity Log - Administrative
  4. Filters : Create/Delete Resource, NSG changes, etc.

Valeur par défaut : Aucune alerte Activity Log

5.1.3 — Activity Log protection contre suppression

Niveau : 🟠
Référence CIS : CIS Azure 5.1.2
MITRE ATT&CK : T1562.001

Description : L’Activity Log exporté vers Log Analytics ou Storage doit être protégé contre la suppression non autorisée avec contrôles d’accès appropriés.

Vérification :

  • Portal > Log Analytics workspace > Access control (IAM)
  • CLI: az role assignment list –scope
  • PowerShell: Get-AzRoleAssignment -Scope

Remédiation :

  1. Limiter les permissions “Contributor” sur Log Analytics workspace
  2. Utiliser “Log Analytics Reader” pour la majorité des utilisateurs
  3. Resource lock sur workspace critique
  4. Audit régulier des accès

Valeur par défaut : Permissions souvent excessives

5.2 — LOG ANALYTICS WORKSPACE

5.2.1 — Log Analytics workspace centralisé configuré

Niveau : 🔴
Référence CIS : CIS Azure 5.2
MITRE ATT&CK : T1562.001

Description : Un workspace Log Analytics centralisé doit être configuré pour collecter tous les logs de sécurité avec rétention appropriée selon les exigences de conformité.

Vérification :

  • Portal > Log Analytics workspaces > Overview
  • CLI: az monitor log-analytics workspace list
  • PowerShell: Get-AzOperationalInsightsWorkspace

Remédiation :

  1. Créer Log Analytics workspace central
  2. Configurer retention : 90 jours minimum
  3. Data sources : Activity Logs, Security Events, etc.
  4. Scaling selon volume de données

Valeur par défaut : Pas de workspace centralisé

5.2.2 — Solutions de sécurité installées dans Log Analytics

Niveau : 🟠
Référence CIS : CIS Azure 5.2.1
MITRE ATT&CK : T1562.001

Description : Les solutions de sécurité doivent être installées dans Log Analytics : Security Center, Update Management, Change Tracking, Security & Audit.

Vérification :

  • Portal > Log Analytics workspace > Legacy solutions
  • CLI: az monitor log-analytics solution list
  • PowerShell: Get-AzOperationalInsightsIntelligencePack

Remédiation :

  1. Log Analytics workspace > Legacy solutions
  2. Ajouter : Security & Audit, Update Management
  3. Configurer Change Tracking si requis
  4. Vérifier data collection

Valeur par défaut : Solutions de base uniquement

5.2.3 — Contrôle d’accès granulaire Log Analytics

Niveau : 🟠
Référence CIS : CIS Azure 5.2.2
MITRE ATT&CK : T1562.001

Description : L’accès au workspace Log Analytics doit être contrôlé avec permissions granulaires par table/ressource pour respecter la séparation des responsabilités.

Vérification :

  • Portal > Log Analytics workspace > Access control (IAM)
  • Portal > Tables > Access control settings
  • PowerShell: Get-AzRoleAssignment -Scope

Remédiation :

  1. Utiliser table-level RBAC plutôt que workspace-level
  2. Rôles granulaires : Log Analytics Reader, Security Reader
  3. Custom roles pour besoins spécifiques
  4. Audit régulier des accès

Valeur par défaut : Workspace-level permissions

5.3 — DIAGNOSTIC SETTINGS

5.3.1 — Diagnostic settings activés pour toutes ressources critiques

Niveau : 🔴
Référence CIS : CIS Azure 5.3
MITRE ATT&CK : T1562.001

Description : Les paramètres de diagnostic doivent être activés sur toutes les ressources critiques avec envoi des logs vers Log Analytics centralisé.

Vérification :

  • Portal > Resources > Monitoring > Diagnostic settings
  • CLI: az monitor diagnostic-settings list –resource
  • PowerShell: Get-AzDiagnosticSetting -ResourceId

Remédiation :

  1. Identifier toutes les ressources critiques
  2. Activer diagnostic settings par ressource
  3. Sélectionner tous les logs de sécurité pertinents
  4. Destination : Log Analytics workspace central

Valeur par défaut : Diagnostic settings désactivés

5.3.2 — Azure Policy pour enforcement diagnostic settings

Niveau : 🟠
Référence CIS : CIS Azure 5.3.1
MITRE ATT&CK : T1562.001

Description : Azure Policy doit être utilisé pour forcer automatiquement l’activation des diagnostic settings sur toutes les nouvelles ressources créées.

Vérification :

  • Portal > Policy > Assignments > Diagnostic settings policies
  • CLI: az policy assignment list –query “[?contains(displayName,‘diagnostic’)]”
  • PowerShell: Get-AzPolicyAssignment | Where-Object {BEGIN___COMMAND_OUTPUT_MARKER.Properties.displayName -like “diagnostic”}

Remédiation :

  1. Policy > Definitions > Rechercher “Configure diagnostic”
  2. Assign policies pour chaque type de ressource
  3. Configure remediation automatique
  4. Monitor compliance dashboard

Valeur par défaut : Pas d’enforcement automatique

5.4 — AZURE MONITOR ALERTS

5.4.1 — Action Groups configurés pour équipes sécurité

Niveau : 🟠
Référence CIS : CIS Azure 5.4
MITRE ATT&CK : T1562.001

Description : Des Action Groups doivent être configurés avec les contacts appropriés (SOC, équipe sécurité, astreinte) pour notification des alertes de sécurité.

Vérification :

  • Portal > Monitor > Alerts > Action groups
  • CLI: az monitor action-group list
  • PowerShell: Get-AzActionGroup

Remédiation :

  1. Monitor > Alerts > Action groups > Add
  2. Actions : Email, SMS, Azure app notification
  3. Groupes : SOC 24/7, Security Team, Management
  4. Test notifications

Valeur par défaut : Pas d’action groups configurés

5.4.2 — Alertes métriques pour ressources critiques

Niveau : 🟠
Référence CIS : CIS Azure 5.4.1
MITRE ATT&CK : T1562.001

Description : Des alertes métriques doivent être configurées pour surveiller la santé et performance des ressources critiques : CPU, mémoire, connexions, erreurs.

Vérification :

  • Portal > Monitor > Alerts > Alert rules (Metric alerts)
  • CLI: az monitor metrics alert list
  • PowerShell: Get-AzMetricAlertRuleV2

Remédiation :

  1. Identifier métriques critiques par type de ressource
  2. Configurer seuils appropriés (CPU >90%, etc.)
  3. Action groups pour escalade
  4. Suppression alertes non actionnables

Valeur par défaut : Alertes basiques uniquement

5.4.3 — Log search alerts pour détection anomalies

Niveau : 🟡
Référence CIS : CIS Azure 5.4.2
MITRE ATT&CK : T1562.001

Description : Des alertes de recherche de logs (KQL) doivent être configurées pour détecter les activités suspectes et anomalies de sécurité.

Vérification :

  • Portal > Monitor > Alerts > Alert rules (Log search alerts)
  • CLI: az monitor scheduled-query list
  • PowerShell: Get-AzScheduledQueryRule

Remédiation :

  1. Développer requêtes KQL pour détection
  2. Exemples : Failed logins, Privilege escalation
  3. Fréquence appropriée (5-15 minutes)
  4. Tuning pour réduire false positives

Valeur par défaut : Pas d’alertes log search

5.5 — NETWORK WATCHER

5.5.1 — Network Watcher activé dans toutes régions

Niveau : 🟠
Référence CIS : CIS Azure 5.5
MITRE ATT&CK : T1040

Description : Network Watcher doit être activé dans toutes les régions Azure utilisées pour permettre le monitoring réseau et l’investigation des incidents.

Vérification :

  • Portal > Network Watcher > Overview (toutes régions)
  • CLI: az network watcher list
  • PowerShell: Get-AzNetworkWatcher

Remédiation :

  1. Network Watcher > Overview
  2. Vérifier activation dans chaque région utilisée
  3. Activer si nécessaire
  4. Configurer diagnostic settings

Valeur par défaut : Activé automatiquement dans certaines régions

5.5.2 — NSG Flow Logs activés pour NSGs critiques

Niveau : 🟠
Référence CIS : CIS Azure 5.5.1
MITRE ATT&CK : T1040

Description : Les NSG Flow Logs doivent être activés sur tous les NSG critiques avec stockage dans Storage Account et analyse via Traffic Analytics.

Vérification :

  • Portal > Network Watcher > NSG flow logs
  • CLI: az network watcher flow-log list
  • PowerShell: Get-AzNetworkWatcherFlowLogStatus

Remédiation :

  1. Network Watcher > NSG flow logs
  2. Configurer pour chaque NSG critique
  3. Storage account pour stockage logs
  4. Activer Traffic Analytics avec Log Analytics

Valeur par défaut : Désactivé

5.5.3 — Traffic Analytics configuré

Niveau : 🟡
Référence CIS : CIS Azure 5.5.2
MITRE ATT&CK : T1040

Description : Traffic Analytics doit être configuré pour analyser les NSG Flow Logs et détecter les communications anormales ou non autorisées.

Vérification :

  • Portal > Network Watcher > Traffic Analytics
  • CLI: Vérification via Network Watcher flow logs
  • PowerShell: Vérification des paramètres Traffic Analytics

Remédiation :

  1. Network Watcher > Traffic Analytics
  2. Configurer Log Analytics workspace
  3. Interval : 10 minutes pour production
  4. Révision régulière des insights

Valeur par défaut : Désactivé

5.6 — AZURE SENTINEL / SIEM

5.6.1 — Azure Sentinel ou SIEM externe configuré

Niveau : 🟠
Référence CIS : CIS Azure 5.6
MITRE ATT&CK : T1562.001

Description : Une solution SIEM (Azure Sentinel ou externe) doit être configurée pour corrélation des événements de sécurité et réponse aux incidents.

Vérification :

  • Portal > Microsoft Sentinel > Overview
  • CLI: az sentinel workspace list
  • Ou vérification SIEM externe (Splunk, QRadar, etc.)

Remédiation :

  1. Évaluer Azure Sentinel vs SIEM existant
  2. Si Sentinel : onboard Log Analytics workspace
  3. Configurer data connectors appropriés
  4. Développer règles de détection

Valeur par défaut : Aucune solution SIEM

5.6.2 — Data connectors Sentinel configurés

Niveau : 🟡
Référence CIS : CIS Azure 5.6.1
MITRE ATT&CK : T1562.001

Description : Tous les connecteurs de données pertinents doivent être configurés dans Sentinel : Azure AD, Activity Log, Security Center, Office 365, etc.

Vérification :

  • Portal > Microsoft Sentinel > Data connectors
  • CLI: az sentinel data-connector list
  • PowerShell: Get-AzSentinelDataConnector

Remédiation :

  1. Sentinel > Data connectors
  2. Activer : Azure Active Directory, Azure Activity
  3. Security Events, Office 365 si applicable
  4. Connecteurs tiers selon environnement

Valeur par défaut : Connecteurs de base uniquement

5.6.3 — Analytics rules et détections personnalisées

Niveau : 🟡
Référence CIS : CIS Azure 5.6.2
MITRE ATT&CK : T1562.001

Description : Des règles d’analyse et détections personnalisées doivent être configurées dans Sentinel pour détecter les menaces spécifiques à l’environnement.

Vérification :

  • Portal > Microsoft Sentinel > Analytics > Rules
  • CLI: az sentinel alert-rule list
  • PowerShell: Get-AzSentinelAlertRule

Remédiation :

  1. Sentinel > Analytics > Rule templates
  2. Activer règles Microsoft appropriées
  3. Créer règles personnalisées selon besoins
  4. Tuning et réduction false positives

Valeur par défaut : Templates Microsoft uniquement

5.7 — COMPLIANCE ET AUDIT TRAIL

5.7.1 — Immutable logs pour compliance

Niveau : 🟡
Référence CIS : CIS Azure 5.7
MITRE ATT&CK : T1562.001

Description : Pour les environnements soumis à conformité stricte, les logs doivent être stockés de manière immuable avec protection WORM.

Vérification :

  • Portal > Storage account > Data protection > Immutable storage
  • CLI: az storage container immutability-policy show
  • PowerShell: Get-AzStorageContainerImmutabilityPolicy

Remédiation :

  1. Storage account dédié pour logs d’audit
  2. Immutable blob storage avec time-based retention
  3. Legal hold si requis par régulation
  4. Export logs critiques vers ce storage

Valeur par défaut : Stockage logs standard mutable

5.7.2 — Audit trail complet des modifications

Niveau : 🟡
Référence CIS : CIS Azure 5.7.1
MITRE ATT&CK : T1562.001

Description : Un audit trail complet doit être maintenu pour toutes les modifications de configuration de sécurité avec traçabilité des responsables.

Vérification :

  • Portal > Monitor > Activity Log > Administrative category
  • Requête KQL : AzureActivity | where CategoryValue == “Administrative”
  • PowerShell: Get-AzLog -ResourceProvider “Microsoft.Authorization”

Remédiation :

  1. S’assurer Activity Log activé sur toutes souscriptions
  2. Export vers Log Analytics avec rétention longue
  3. Alertes sur modifications critiques
  4. Reporting mensuel des changements

Valeur par défaut : Activity Log standard 90 jours

RÉCAPITULATIF SECTION S5 - LOGGING ET SURVEILLANCE

Sous-section Total contrôles 🔴 Critique 🟠 Élevé 🟡 Moyen 🟢 Faible
5.1 Activity Log 3 2 1 0 0
5.2 Log Analytics 3 1 2 0 0
5.3 Diagnostic Settings 2 1 1 0 0
5.4 Azure Monitor 3 0 2 1 0
5.5 Network Watcher 3 0 2 1 0
5.6 Sentinel/SIEM 3 0 1 2 0
5.7 Compliance 2 0 0 2 0
TOTAL S5 19 4 9 6 0

S6 — SÉCURITÉ RÉSEAU

6.1.1 — Network Security Groups (NSG) configurés restrictifs

Niveau : 🔴
Référence CIS : CIS Azure 6.1
MITRE ATT&CK : T1095

Description : Les NSG doivent être configurés avec règles restrictives suivant le principe du moindre privilège pour contrôler le trafic réseau.

Vérification :

  • Portal > Virtual networks > Subnets > Network security group
  • CLI: az network nsg rule list –nsg-name

Remédiation :

  1. Audit des règles NSG existantes
  2. Suppression des règles “Any to Any”
  3. Principe allow explicit, deny all

6.2.1 — Azure Firewall ou NVA déployé

Niveau : 🟠
Référence CIS : CIS Azure 6.2
MITRE ATT&CK : T1095

Description : Azure Firewall ou Network Virtual Appliance doit être déployé pour inspection et filtrage du trafic réseau centralisé.

Vérification :

  • Portal > Firewalls ou Network Virtual Appliances
  • CLI: az network firewall list

Remédiation :

  1. Déploiement Azure Firewall dans hub VNet
  2. Configuration des règles de filtrage
  3. Route tables pour forcer passage par firewall

6.3.1 — DDoS Protection Standard activé

Niveau : 🟠
Référence CIS : CIS Azure 6.3
MITRE ATT&CK : T1499

Description : DDoS Protection Standard doit être activé sur les VNets exposés publiquement pour protection contre les attaques déni de service.

Vérification :

  • Portal > Virtual networks > DDoS protection
  • CLI: az network ddos-protection list

Remédiation :

  1. Créer DDoS protection plan
  2. Associer aux VNets publics
  3. Configurer alertes DDoS

6.4 — AZURE FIREWALL PREMIUM ET WAF

6.4.1 — Azure Firewall Premium avec IDPS activé

Niveau : 🔴
Référence CIS : CIS Azure 6.1.1
MITRE ATT&CK : T1190

Description : Déployer Azure Firewall Premium avec les capacités IDPS (Intrusion Detection and Prevention System) pour détecter et bloquer les menaces réseau avancées.

Vérification :

  • Portal > Azure Firewall > Overview > Check SKU
  • CLI: az network firewall show –name MyFirewall –resource-group MyRG –query “sku.tier”
  • PowerShell: (Get-AzFirewall -Name “MyFirewall” -ResourceGroupName “MyRG”).Sku.Tier

Remédiation :

  1. Upgrader vers Azure Firewall Premium
  2. Activer les règles IDPS
  3. Configurer les signatures de menaces
# Créer Azure Firewall Premium avec IDPS
$firewallPremium = New-AzFirewall -Name "MyFirewallPremium" -ResourceGroupName "MyRG" -Location "France Central" -VirtualNetwork $vnet -PublicIpAddress $pip -SkuTier "Premium" -SkuName "AZFW_VNet"
# Activer IDPS
$firewallPolicy = New-AzFirewallPolicy -Name "MyFirewallPolicy" -ResourceGroupName "MyRG" -Location "France Central" -ThreatIntelMode "Alert" -IntrusionDetection (New-AzFirewallPolicyIntrusionDetection -Mode "Alert")

Valeur par défaut : Standard SKU

6.4.2 — Web Application Firewall (WAF) avec règles OWASP

Niveau : 🔴
Référence CIS : CIS Azure 6.1.2
MITRE ATT&CK : T1190

Description : Configurer WAF avec les règles OWASP Core Rule Set pour protéger les applications web contre les attaques communes.

Vérification :

  • Portal > Application Gateway > Web application firewall
  • CLI: az network application-gateway waf-config show –gateway-name MyAppGW –resource-group MyRG
  • PowerShell: Get-AzApplicationGatewayWebApplicationFirewallConfiguration -ApplicationGateway $appgw

Remédiation :

  1. Activer WAF sur Application Gateway
  2. Configurer OWASP Core Rule Set 3.2
  3. Définir le mode de protection
# Configurer WAF avec OWASP
$appgw = Get-AzApplicationGateway -Name "MyAppGW" -ResourceGroupName "MyRG"
Set-AzApplicationGatewayWebApplicationFirewallConfiguration -ApplicationGateway $appgw -Enabled $true -FirewallMode "Prevention" -RuleSetType "OWASP" -RuleSetVersion "3.2"
Set-AzApplicationGateway -ApplicationGateway $appgw

Valeur par défaut : Désactivé

6.5 — NSG ET FLOW LOGS

6.5.1 — NSG Flow Logs activés pour tous les NSG critiques

Niveau : 🟠
Référence CIS : CIS Azure 6.2.1
MITRE ATT&CK : T1071

Description : Activer les NSG Flow Logs pour surveiller et auditer le trafic réseau traversant les Network Security Groups.

Vérification :

  • Portal > Network Watcher > NSG flow logs
  • CLI: az network watcher flow-log list –location francecentral
  • PowerShell: Get-AzNetworkWatcherFlowLogStatus -NetworkWatcher $nw -TargetResourceId $nsg.Id

Remédiation :

  1. Créer un compte de stockage pour les logs
  2. Activer Flow Logs sur tous les NSG critiques
  3. Configurer Traffic Analytics si disponible
# Activer NSG Flow Logs
$nsg = Get-AzNetworkSecurityGroup -Name "MyNSG" -ResourceGroupName "MyRG"
$storageAccount = Get-AzStorageAccount -Name "flowlogsstorage" -ResourceGroupName "MyRG"
$nw = Get-AzNetworkWatcher -ResourceGroupName "NetworkWatcherRG" -Name "NetworkWatcher_francecentral"
Set-AzNetworkWatcherConfigFlowLog -NetworkWatcher $nw -TargetResourceId $nsg.Id -StorageAccountId $storageAccount.Id -EnableFlowLog $true -EnableTrafficAnalytics $true

Valeur par défaut : Désactivé

6.5.2 — Règles NSG avec principe du moindre privilège

Niveau : 🔴
Référence CIS : CIS Azure 6.2.2
MITRE ATT&CK : T1071

Description : Configurer les règles NSG selon le principe du moindre privilège, bloquant tout trafic par défaut et autorisant uniquement les flux nécessaires.

Vérification :

  • Portal > Network security group > Inbound/Outbound security rules
  • CLI: az network nsg rule list –resource-group MyRG –nsg-name MyNSG
  • PowerShell: Get-AzNetworkSecurityRuleConfig -NetworkSecurityGroup $nsg

Remédiation :

  1. Auditer toutes les règles existantes
  2. Supprimer les règles trop permissives
  3. Implémenter des règles spécifiques par service
# Créer une règle NSG restrictive pour HTTPS
Add-AzNetworkSecurityRuleConfig -NetworkSecurityGroup $nsg -Name "Allow-HTTPS-Inbound" -Protocol "Tcp" -Direction "Inbound" -Priority 1000 -SourceAddressPrefix "10.0.0.0/8" -SourcePortRange "*" -DestinationAddressPrefix "*" -DestinationPortRange "443" -Access "Allow"
Set-AzNetworkSecurityGroup -NetworkSecurityGroup $nsg

Valeur par défaut : Règles par défaut permissives

6.6 — DDOS PROTECTION

6.6.1 — DDoS Protection Standard activé

Niveau : 🔴
Référence CIS : CIS Azure 6.3.1
MITRE ATT&CK : T1498

Description : Activer DDoS Protection Standard pour protéger les adresses IP publiques contre les attaques de déni de service distribué.

Vérification :

  • Portal > Virtual network > DDoS protection
  • CLI: az network ddos-protection list
  • PowerShell: Get-AzDdosProtectionPlan

Remédiation :

  1. Créer un plan de protection DDoS Standard
  2. Associer le plan aux réseaux virtuels
  3. Configurer les alertes et métriques
# Créer et activer DDoS Protection
$ddosProtectionPlan = New-AzDdosProtectionPlan -Name "MyDdosProtectionPlan" -ResourceGroupName "MyRG" -Location "France Central"
$vnet = Get-AzVirtualNetwork -Name "MyVNet" -ResourceGroupName "MyRG"
$vnet.DdosProtectionPlan = New-Object Microsoft.Azure.Commands.Network.Models.PSResourceId
$vnet.DdosProtectionPlan.Id = $ddosProtectionPlan.Id
$vnet.EnableDdosProtection = $true
Set-AzVirtualNetwork -VirtualNetwork $vnet

Valeur par défaut : Basic (gratuit)

6.6.2 — Métriques et alertes DDoS configurées

Niveau : 🟠
Référence CIS : CIS Azure 6.3.2
MITRE ATT&CK : T1498

Description : Configurer la surveillance et les alertes pour les métriques DDoS afin de détecter et répondre rapidement aux attaques.

Vérification :

  • Portal > Monitor > Metrics > DDoS Protection
  • CLI: az monitor metrics list –resource-type “Microsoft.Network/publicIPAddresses”
  • PowerShell: Get-AzMetric -ResourceId $pip.Id -MetricName “IfUnderDDoSAttack”

Remédiation :

  1. Configurer des alertes sur les métriques DDoS
  2. Créer des règles d’action automatisées
  3. Intégrer avec les équipes de réponse
# Créer une alerte DDoS
$actionGroup = Get-AzActionGroup -ResourceGroupName "MyRG" -Name "SecurityTeam"
Add-AzMetricAlertRuleV2 -Name "DDoS-Attack-Alert" -ResourceGroupName "MyRG" -WindowSize "PT5M" -Frequency "PT1M" -TargetResourceId $pip.Id -MetricName "IfUnderDDoSAttack" -Operator "GreaterThan" -Threshold 0 -ActionGroupId $actionGroup.Id

Valeur par défaut : Pas d’alertes configurées

6.7 — PRIVATE ENDPOINTS ET SERVICE ENDPOINTS

6.7.1 — Private Endpoints pour tous les services PaaS critiques

Niveau : 🔴
Référence CIS : CIS Azure 6.4.1
MITRE ATT&CK : T1071.001

Description : Configurer des Private Endpoints pour tous les services PaaS critiques afin d’éliminer l’exposition à Internet public.

Vérification :

  • Portal > Private Link Center > Private endpoints
  • CLI: az network private-endpoint list
  • PowerShell: Get-AzPrivateEndpoint

Remédiation :

  1. Identifier tous les services PaaS exposés publiquement
  2. Créer des Private Endpoints appropriés
  3. Configurer les zones DNS privées
# Créer un Private Endpoint pour SQL Database
$subnet = Get-AzVirtualNetworkSubnetConfig -Name "PrivateEndpointSubnet" -VirtualNetwork $vnet
New-AzPrivateEndpoint -ResourceGroupName "MyRG" -Name "sql-pe" -Location "France Central" -Subnet $subnet -PrivateLinkServiceId "/subscriptions/{sub}/resourceGroups/MyRG/providers/Microsoft.Sql/servers/myserver" -GroupId "sqlServer"

Valeur par défaut : Accès public autorisé

6.7.2 — Service Endpoints sécurisés configurés

Niveau : 🟠
Référence CIS : CIS Azure 6.4.2
MITRE ATT&CK : T1071.001

Description : Utiliser les Service Endpoints comme alternative aux Private Endpoints pour sécuriser l’accès aux services PaaS depuis des réseaux virtuels spécifiques.

Vérification :

  • Portal > Virtual network > Service endpoints
  • CLI: az network vnet subnet show –vnet-name MyVNet –name MySubnet –resource-group MyRG –query “serviceEndpoints”
  • PowerShell: (Get-AzVirtualNetworkSubnetConfig -VirtualNetwork $vnet -Name “MySubnet”).ServiceEndpoints

Remédiation :

  1. Configurer des Service Endpoints sur les sous-réseaux appropriés
  2. Restreindre l’accès aux services depuis ces endpoints uniquement
# Configurer Service Endpoint pour Storage
$vnet = Get-AzVirtualNetwork -Name "MyVNet" -ResourceGroupName "MyRG"
$subnet = Get-AzVirtualNetworkSubnetConfig -Name "MySubnet" -VirtualNetwork $vnet
Add-AzVirtualNetworkSubnetConfig -Name "MySubnet" -VirtualNetwork $vnet -AddressPrefix $subnet.AddressPrefix -ServiceEndpoint "Microsoft.Storage"
Set-AzVirtualNetwork -VirtualNetwork $vnet

Valeur par défaut : Pas de Service Endpoints

6.8 — NETWORK MONITORING ET ANALYTICS

6.8.1 — Connection Monitor configuré pour la surveillance réseau

Niveau : 🟠
Référence CIS : CIS Azure 6.5.1
MITRE ATT&CK : T1071

Description : Configurer Connection Monitor pour surveiller la connectivité réseau entre les ressources critiques et détecter les problèmes de performance.

Vérification :

  • Portal > Network Watcher > Connection monitor
  • CLI: az network watcher connection-monitor list
  • PowerShell: Get-AzNetworkWatcherConnectionMonitor

Remédiation :

  1. Créer des Connection Monitors pour les flux critiques
  2. Configurer des seuils d’alertes
  3. Intégrer avec Log Analytics
# Créer un Connection Monitor
$nw = Get-AzNetworkWatcher -ResourceGroupName "NetworkWatcherRG" -Name "NetworkWatcher_francecentral"
New-AzNetworkWatcherConnectionMonitor -NetworkWatcher $nw -Name "WebToDatabase" -SourceResourceId $vm1.Id -DestinationResourceId $vm2.Id -DestinationPort 1433

Valeur par défaut : Non configuré

6.8.2 — Traffic Analytics activé

Niveau : 🟠
Référence CIS : CIS Azure 6.5.2
MITRE ATT&CK : T1071

Description : Activer Traffic Analytics pour analyser les patterns de trafic réseau et détecter les anomalies de communication.

Vérification :

  • Portal > Network Watcher > Traffic Analytics
  • CLI: az network watcher flow-log show –location francecentral –name MyFlowLog
  • PowerShell: Get-AzNetworkWatcherFlowLogStatus -NetworkWatcher $nw -TargetResourceId $nsg.Id

Remédiation :

  1. Créer un workspace Log Analytics
  2. Activer Traffic Analytics sur les Flow Logs
  3. Configurer des requêtes personnalisées
# Activer Traffic Analytics
$workspace = Get-AzOperationalInsightsWorkspace -ResourceGroupName "MyRG" -Name "MyWorkspace"
Set-AzNetworkWatcherConfigFlowLog -NetworkWatcher $nw -TargetResourceId $nsg.Id -StorageAccountId $storageAccount.Id -EnableFlowLog $true -EnableTrafficAnalytics $true -WorkspaceResourceId $workspace.ResourceId

Valeur par défaut : Désactivé

S7 — SÉCURITÉ DES MACHINES VIRTUELLES

7.1.1 — Disk encryption activé sur toutes les VMs

Niveau : 🔴
Référence CIS : CIS Azure 7.1
MITRE ATT&CK : T1486

Description : Azure Disk Encryption doit être activé sur tous les disques des VMs pour chiffrer les données au repos.

Vérification :

  • Portal > Virtual machines > Disks > Encryption
  • CLI: az vm encryption show –name

Remédiation :

  1. Créer Key Vault avec access policies
  2. Activer Azure Disk Encryption
  3. Vérifier chiffrement OS et data disks

7.2.1 — Just-In-Time VM access configuré

Niveau : 🟠
Référence CIS : CIS Azure 7.2
MITRE ATT&CK : T1078

Description : Just-In-Time VM access doit être configuré pour limiter l’exposition RDP/SSH aux fenêtres de temps nécessaires.

Vérification :

  • Portal > Security Center > Just-in-time VM access
  • CLI: az security jit-policy list

Remédiation :

  1. Activer JIT sur VMs critiques
  2. Configurer ports et durées maximales
  3. Processus d’approbation pour accès

7.3 — CHIFFREMENT ET PROTECTION DES DISQUES

7.3.1 — Azure Disk Encryption activé sur toutes les VM

Niveau : 🔴
Référence CIS : CIS Azure 7.1.1
MITRE ATT&CK : T1486

Description : Activer Azure Disk Encryption sur toutes les machines virtuelles pour chiffrer les disques OS et de données au repos.

Vérification :

  • Portal > Virtual machine > Disks > Encryption settings
  • CLI: az vm encryption show –name MyVM –resource-group MyRG
  • PowerShell: Get-AzVmDiskEncryptionStatus -ResourceGroupName “MyRG” -VMName “MyVM”

Remédiation :

  1. Créer un Azure Key Vault avec les bonnes permissions
  2. Activer le chiffrement sur les VM existantes
  3. Configurer le chiffrement par défaut pour les nouvelles VM
# Activer le chiffrement de disque
Set-AzVMDiskEncryptionExtension -ResourceGroupName "MyRG" -VMName "MyVM" -DiskEncryptionKeyVaultUrl "https://myvault.vault.azure.net/" -DiskEncryptionKeyVaultId "/subscriptions/{sub}/resourceGroups/MyRG/providers/Microsoft.KeyVault/vaults/myvault"

Valeur par défaut : Désactivé

7.3.2 — Disques managés avec chiffrement côté serveur

Niveau : 🔴
Référence CIS : CIS Azure 7.1.2
MITRE ATT&CK : T1486

Description : Utiliser des disques managés avec chiffrement côté serveur et des clés gérées par le client pour un contrôle total du chiffrement.

Vérification :

  • Portal > Disks > Encryption type
  • CLI: az disk show –name MyDisk –resource-group MyRG –query “encryption”
  • PowerShell: (Get-AzDisk -ResourceGroupName “MyRG” -DiskName “MyDisk”).Encryption

Remédiation :

  1. Créer un Disk Encryption Set avec Key Vault
  2. Migrer vers des disques avec chiffrement CMK
  3. Configurer la rotation automatique des clés
# Créer un Disk Encryption Set
$keyVault = Get-AzKeyVault -VaultName "MyVault" -ResourceGroupName "MyRG"
$key = Get-AzKeyVaultKey -VaultName "MyVault" -Name "DiskEncryptionKey"
New-AzDiskEncryptionSet -ResourceGroupName "MyRG" -Name "MyDiskEncryptionSet" -Location "France Central" -KeyUrl $key.Id -SourceVaultId $keyVault.ResourceId

Valeur par défaut : Clés gérées par la plateforme

7.4 — JUST-IN-TIME ACCESS

7.4.1 — Just-In-Time VM Access configuré

Niveau : 🔴
Référence CIS : CIS Azure 7.2.1
MITRE ATT&CK : T1078.004

Description : Configurer Just-In-Time VM Access pour limiter l’exposition des ports de gestion des machines virtuelles et réduire la surface d’attaque.

Vérification :

  • Portal > Security Center > Just-in-time VM access
  • CLI: az security jit-policy list
  • PowerShell: Get-AzJitNetworkAccessPolicy

Remédiation :

  1. Activer JIT Access dans Azure Security Center
  2. Configurer les ports et durées d’accès
  3. Former les utilisateurs aux procédures d’accès
# Configurer JIT pour RDP/SSH
$jitPolicy = @{
    "id" = "/subscriptions/{sub}/resourceGroups/MyRG/providers/Microsoft.Compute/virtualMachines/MyVM"
    "ports" = @(
        @{
            "number" = 22
            "protocol" = "TCP"
            "allowedSourceAddressPrefix" = "*"
            "maxRequestAccessDuration" = "PT3H"
        },
        @{
            "number" = 3389
            "protocol" = "TCP"
            "allowedSourceAddressPrefix" = "*"
            "maxRequestAccessDuration" = "PT3H"
        }
    )
}
Set-AzJitNetworkAccessPolicy -ResourceGroupName "MyRG" -Location "France Central" -Name "MyJitPolicy" -VirtualMachine $jitPolicy

Valeur par défaut : Désactivé

7.4.2 — Bastion Host déployé pour l’accès sécurisé

Niveau : 🟠
Référence CIS : CIS Azure 7.2.2
MITRE ATT&CK : T1078.004

Description : Déployer Azure Bastion pour fournir un accès RDP/SSH sécurisé aux machines virtuelles sans exposer les adresses IP publiques.

Vérification :

  • Portal > Bastion > Check deployment status
  • CLI: az network bastion list –resource-group MyRG
  • PowerShell: Get-AzBastion -ResourceGroupName “MyRG”

Remédiation :

  1. Créer un sous-réseau AzureBastionSubnet (/27 minimum)
  2. Déployer Azure Bastion dans le réseau virtuel
  3. Supprimer les IP publiques des VM
# Déployer Azure Bastion
$vnet = Get-AzVirtualNetwork -Name "MyVNet" -ResourceGroupName "MyRG"
$pip = New-AzPublicIpAddress -Name "BastionIP" -ResourceGroupName "MyRG" -Location "France Central" -AllocationMethod "Static" -Sku "Standard"
New-AzBastion -ResourceGroupName "MyRG" -Name "MyBastion" -PublicIpAddress $pip -VirtualNetwork $vnet

Valeur par défaut : Non déployé

7.5 — UPDATE MANAGEMENT ET PATCH COMPLIANCE

7.5.1 — Update Management automatisé configuré

Niveau : 🔴
Référence CIS : CIS Azure 7.3.1
MITRE ATT&CK : T1068

Description : Configurer Azure Update Management pour automatiser l’installation des mises à jour de sécurité sur toutes les machines virtuelles.

Vérification :

  • Portal > Automation Account > Update Management
  • CLI: az vm assess-patches –name MyVM –resource-group MyRG
  • PowerShell: Get-AzAutomationSoftwareUpdateConfiguration -AutomationAccountName “MyAutomation” -ResourceGroupName “MyRG”

Remédiation :

  1. Créer un compte Automation avec Update Management
  2. Associer les VM au service Update Management
  3. Configurer des planifications de maintenance
# Configurer Update Management
$automationAccount = Get-AzAutomationAccount -ResourceGroupName "MyRG" -Name "MyAutomation"
New-AzAutomationSoftwareUpdateConfiguration -AutomationAccountName "MyAutomation" -ResourceGroupName "MyRG" -Name "SecurityUpdates" -OperatingSystem "Windows" -Classification @("Security", "Critical") -IncludedUpdateClassification "Security"

Valeur par défaut : Mise à jour manuelle

7.5.2 — Boot Diagnostics activé

Niveau : 🟠
Référence CIS : CIS Azure 7.3.2
MITRE ATT&CK : T1068

Description : Activer Boot Diagnostics pour surveiller le processus de démarrage des VM et diagnostiquer les problèmes de sécurité ou de performance.

Vérification :

  • Portal > Virtual machine > Boot diagnostics
  • CLI: az vm boot-diagnostics get-boot-log –name MyVM –resource-group MyRG
  • PowerShell: (Get-AzVM -ResourceGroupName “MyRG” -Name “MyVM”).DiagnosticsProfile

Remédiation :

  1. Créer un compte de stockage pour les diagnostics
  2. Activer Boot Diagnostics sur toutes les VM
  3. Surveiller les logs de démarrage
# Activer Boot Diagnostics
$storageAccount = Get-AzStorageAccount -ResourceGroupName "MyRG" -Name "diagstorage"
$vm = Get-AzVM -ResourceGroupName "MyRG" -Name "MyVM"
Set-AzVMBootDiagnostic -VM $vm -Enable -ResourceGroupName "MyRG" -StorageAccountName "diagstorage"
Update-AzVM -ResourceGroupName "MyRG" -VM $vm

Valeur par défaut : Désactivé

7.6 — CONFIDENTIAL COMPUTING

7.6.1 — VM de calcul confidentiel pour données sensibles

Niveau : 🟠
Référence CIS : CIS Azure 7.4.1
MITRE ATT&CK : T1486

Description : Utiliser des VM de calcul confidentiel (DCsv2, DCsv3) pour traiter des données hautement sensibles avec chiffrement en mémoire.

Vérification :

  • Portal > Virtual machine > Size (Check DC series)
  • CLI: az vm show –name MyVM –resource-group MyRG –query “hardwareProfile.vmSize”
  • PowerShell: (Get-AzVM -ResourceGroupName “MyRG” -Name “MyVM”).HardwareProfile.VmSize

Remédiation :

  1. Identifier les workloads nécessitant un calcul confidentiel
  2. Migrer vers des VM DC series
  3. Configurer l’attestation avec Azure Attestation
# Créer une VM de calcul confidentiel
New-AzVM -ResourceGroupName "MyRG" -Name "ConfidentialVM" -Location "France Central" -VirtualNetworkName "MyVNet" -SubnetName "ConfidentialSubnet" -SecurityGroupName "ConfidentialNSG" -Size "Standard_DC2s_v3" -Image "Win2019Datacenter"

Valeur par défaut : VM standard

7.6.2 — Azure Attestation configuré

Niveau : 🟠
Référence CIS : CIS Azure 7.4.2
MITRE ATT&CK : T1486

Description : Configurer Azure Attestation pour vérifier l’intégrité et l’authenticité des environnements de calcul confidentiel.

Vérification :

  • Portal > Azure Attestation > Provider status
  • CLI: az attestation list
  • PowerShell: Get-AzAttestation

Remédiation :

  1. Créer un provider Azure Attestation
  2. Configurer les politiques d’attestation
  3. Intégrer avec les applications confidentielles
# Créer un provider d'attestation
New-AzAttestation -Name "MyAttestationProvider" -ResourceGroupName "MyRG" -Location "France Central"

Valeur par défaut : Non configuré

S8 — AZURE KEY VAULT

8.1.1 — Key Vault avec RBAC et soft delete

Niveau : 🔴
Référence CIS : CIS Azure 8.1
MITRE ATT&CK : T1552

Description : Key Vault doit utiliser RBAC pour l’autorisation et avoir soft delete activé avec purge protection.

Vérification :

  • Portal > Key Vault > Access control (IAM)
  • CLI: az keyvault show –name –query “properties.enableSoftDelete”

Remédiation :

  1. Migrer vers RBAC authorization
  2. Activer soft delete et purge protection
  3. Configurer permissions granulaires

8.2.1 — Rotation automatique des clés

Niveau : 🟠
Référence CIS : CIS Azure 8.2
MITRE ATT&CK : T1552

Description : Les clés dans Key Vault doivent avoir une rotation automatique configurée selon leur criticité.

Vérification :

  • Portal > Key Vault > Keys > Rotation policy
  • CLI: az keyvault key rotation-policy show

Remédiation :

  1. Définir rotation policies par clé
  2. Automatisation via Logic Apps si nécessaire
  3. Test des processus de rotation

8.3 — POLITIQUES D’ACCÈS ET RBAC

8.3.1 — RBAC activé au lieu des politiques d’accès classiques

Niveau : 🔴
Référence CIS : CIS Azure 8.1.1
MITRE ATT&CK : T1078.004

Description : Utiliser le modèle RBAC Azure pour Key Vault au lieu des politiques d’accès classiques pour une gestion des permissions plus granulaire et auditable.

Vérification :

  • Portal > Key Vault > Access policies > Permission model
  • CLI: az keyvault show –name MyKeyVault –query “properties.enableRbacAuthorization”
  • PowerShell: (Get-AzKeyVault -VaultName “MyKeyVault”).EnableRbacAuthorization

Remédiation :

  1. Migrer vers le modèle de permissions RBAC
  2. Assigner des rôles granulaires appropriés
  3. Supprimer les anciennes politiques d’accès
# Activer RBAC sur Key Vault
Update-AzKeyVault -VaultName "MyKeyVault" -EnableRbacAuthorization $true
# Assigner un rôle Key Vault Secrets Officer
New-AzRoleAssignment -SignInName "user@domain.com" -RoleDefinitionName "Key Vault Secrets Officer" -Scope "/subscriptions/{sub}/resourceGroups/MyRG/providers/Microsoft.KeyVault/vaults/MyKeyVault"

Valeur par défaut : Politiques d’accès classiques

8.3.2 — Soft Delete et Purge Protection activés

Niveau : 🔴
Référence CIS : CIS Azure 8.1.2
MITRE ATT&CK : T1485

Description : Activer Soft Delete et Purge Protection sur tous les Key Vaults pour protéger contre la suppression accidentelle ou malveillante.

Vérification :

  • Portal > Key Vault > Properties > Soft-delete and Purge protection
  • CLI: az keyvault show –name MyKeyVault –query “{SoftDelete:properties.enableSoftDelete, PurgeProtection:properties.enablePurgeProtection}”
  • PowerShell: Get-AzKeyVault -VaultName “MyKeyVault” | Select-Object EnableSoftDelete, EnablePurgeProtection

Remédiation :

  1. Activer Soft Delete avec période de rétention appropriée
  2. Activer Purge Protection pour empêcher la suppression définitive
  3. Tester la récupération des objets supprimés
# Activer Soft Delete et Purge Protection
Update-AzKeyVault -VaultName "MyKeyVault" -EnableSoftDelete -EnablePurgeProtection

Valeur par défaut : Soft Delete activé, Purge Protection désactivé

8.4 — HSM ET CLÉS MATÉRIELLES

8.4.1 — HSM managé pour les clés critiques

Niveau : 🟠
Référence CIS : CIS Azure 8.2.1
MITRE ATT&CK : T1552.004

Description : Utiliser Azure Key Vault Managed HSM pour stocker les clés cryptographiques les plus critiques avec un niveau de sécurité FIPS 140-2 Level 3.

Vérification :

  • Portal > Key Vault > Managed HSM instances
  • CLI: az keyvault list –resource-type hsm
  • PowerShell: Get-AzKeyVaultManagedHsm

Remédiation :

  1. Créer un Managed HSM pour les clés critiques
  2. Migrer les clés sensibles vers le HSM
  3. Configurer la sauvegarde et la récupération
# Créer un Managed HSM
New-AzKeyVaultManagedHsm -Name "MyManagedHSM" -ResourceGroupName "MyRG" -Location "France Central" -Administrator "admin@domain.com"

Valeur par défaut : Key Vault standard

8.4.2 — Clés HSM-backed pour le chiffrement d’infrastructure

Niveau : 🟠
Référence CIS : CIS Azure 8.2.2
MITRE ATT&CK : T1552.004

Description : Utiliser des clés protégées par HSM pour le chiffrement de l’infrastructure critique (disques, bases de données, stockage).

Vérification :

  • Portal > Key Vault > Keys > Check key type (HSM)
  • CLI: az keyvault key show –vault-name MyKeyVault –name MyKey –query “key.kty”
  • PowerShell: (Get-AzKeyVaultKey -VaultName “MyKeyVault” -Name “MyKey”).Attributes.HSM

Remédiation :

  1. Créer des clés HSM dans Key Vault
  2. Configurer les services pour utiliser des clés HSM
  3. Documenter l’utilisation des clés HSM
# Créer une clé protégée par HSM
Add-AzKeyVaultKey -VaultName "MyKeyVault" -Name "HSMKey" -Destination HSM

Valeur par défaut : Clés logicielles

8.5 — ROTATION ET GESTION DES SECRETS

8.5.1 — Rotation automatique des secrets configurée

Niveau : 🔴
Référence CIS : CIS Azure 8.3.1
MITRE ATT&CK : T1552.001

Description : Configurer la rotation automatique des secrets et certificats dans Key Vault pour maintenir leur fraîcheur et réduire les risques de compromission.

Vérification :

  • Portal > Key Vault > Secrets/Certificates > Rotation policy
  • CLI: az keyvault secret show –vault-name MyKeyVault –name MySecret –query “attributes.expires”
  • PowerShell: Get-AzKeyVaultSecret -VaultName “MyKeyVault” -Name “MySecret”

Remédiation :

  1. Définir des politiques de rotation pour tous les secrets
  2. Configurer des Azure Functions pour la rotation automatique
  3. Intégrer avec les applications pour la gestion des secrets
# Configurer une politique de rotation pour un certificat
$policy = New-AzKeyVaultCertificatePolicy -SecretContentType "application/x-pkcs12" -SubjectName "CN=mycert" -RenewAtNumberOfDaysBeforeExpiry 30
Add-AzKeyVaultCertificate -VaultName "MyKeyVault" -Name "MyCertificate" -CertificatePolicy $policy

Valeur par défaut : Rotation manuelle

8.5.2 — Intégration avec Azure DevOps pour les secrets

Niveau : 🟠
Référence CIS : CIS Azure 8.3.2
MITRE ATT&CK : T1552.001

Description : Intégrer Key Vault avec Azure DevOps pour sécuriser la gestion des secrets dans les pipelines CI/CD.

Vérification :

  • Portal > Azure DevOps > Pipelines > Variable groups
  • CLI: az devops configure –defaults organization=https://dev.azure.com/myorg project=myproject
  • PowerShell: Vérification via REST API Azure DevOps

Remédiation :

  1. Créer des Service Connections vers Key Vault
  2. Configurer des Variable Groups liés à Key Vault
  3. Utiliser des Managed Identity pour l’authentification
# Assigner des permissions DevOps sur Key Vault
$spn = Get-AzADServicePrincipal -DisplayName "Azure DevOps Service Connection"
Set-AzKeyVaultAccessPolicy -VaultName "MyKeyVault" -ObjectId $spn.Id -PermissionsToSecrets get,list

Valeur par défaut : Secrets codés en dur

8.6 — SURVEILLANCE ET AUDIT

8.6.1 — Diagnostic settings configurés pour Key Vault

Niveau : 🔴
Référence CIS : CIS Azure 8.4.1
MITRE ATT&CK : T1552.004

Description : Configurer les paramètres de diagnostic pour surveiller et auditer toutes les opérations sur Key Vault.

Vérification :

  • Portal > Key Vault > Diagnostic settings
  • CLI: az monitor diagnostic-settings list –resource MyKeyVault
  • PowerShell: Get-AzDiagnosticSetting -ResourceId $keyVaultId

Remédiation :

  1. Créer des paramètres de diagnostic pour Key Vault
  2. Envoyer les logs vers Log Analytics et Storage
  3. Configurer des alertes sur les opérations sensibles
# Configurer les diagnostics Key Vault
$keyVault = Get-AzKeyVault -VaultName "MyKeyVault"
$workspace = Get-AzOperationalInsightsWorkspace -ResourceGroupName "MyRG" -Name "MyWorkspace"
Set-AzDiagnosticSetting -ResourceId $keyVault.ResourceId -WorkspaceId $workspace.ResourceId -Enabled $true -Category @("AuditEvent", "AzurePolicyEvaluationDetails")

Valeur par défaut : Diagnostics désactivés

8.6.2 — Alertes configurées pour les accès Key Vault

Niveau : 🟠
Référence CIS : CIS Azure 8.4.2
MITRE ATT&CK : T1552.004

Description : Configurer des alertes pour détecter les accès anormaux ou suspects aux Key Vaults et leurs contenus.

Vérification :

  • Portal > Monitor > Alerts > Alert rules for Key Vault
  • CLI: az monitor metrics alert list –resource-group MyRG
  • PowerShell: Get-AzMetricAlertRuleV2 | Where-Object {$_.TargetResourceType -eq “Microsoft.KeyVault/vaults”}

Remédiation :

  1. Créer des alertes sur les métriques Key Vault
  2. Configurer des alertes sur les requêtes Log Analytics
  3. Intégrer avec les équipes de sécurité
# Créer une alerte pour les échecs d'authentification Key Vault
$actionGroup = Get-AzActionGroup -ResourceGroupName "MyRG" -Name "SecurityAlerts"
$keyVault = Get-AzKeyVault -VaultName "MyKeyVault"
Add-AzMetricAlertRuleV2 -Name "KeyVault-AuthFailures" -ResourceGroupName "MyRG" -WindowSize "PT5M" -Frequency "PT1M" -TargetResourceId $keyVault.ResourceId -MetricName "ServiceApiResult" -Operator "GreaterThan" -Threshold 5 -ActionGroupId $actionGroup.Id

Valeur par défaut : Pas d’alertes configurées

S9 — APP SERVICE SECURITY

9.1.1 — HTTPS obligatoire et TLS 1.2 minimum

Niveau : 🔴
Référence CIS : CIS Azure 9.1
MITRE ATT&CK : T1040

Description : App Service doit forcer HTTPS avec TLS 1.2 minimum et désactiver les protocoles non sécurisés.

Vérification :

  • Portal > App Service > TLS/SSL settings
  • CLI: az webapp config show –name –query “httpsOnly”

Remédiation :

  1. HTTPS Only : Enabled
  2. Minimum TLS version : 1.2
  3. Supprimer protocoles faibles

9.2.1 — Managed Identity pour authentification

Niveau : 🟠
Référence CIS : CIS Azure 9.2
MITRE ATT&CK : T1078.004

Description : App Service doit utiliser Managed Identity pour l’authentification aux services Azure.

Vérification :

  • Portal > App Service > Identity
  • CLI: az webapp identity show –name

Remédiation :

  1. Activer System-assigned ou User-assigned identity
  2. Configurer permissions aux ressources cibles
  3. Modifier code pour utiliser DefaultAzureCredential

9.3 — IDENTITÉS MANAGÉES ET AUTHENTIFICATION

9.3.1 — Managed Identity activée pour tous les App Services

Niveau : 🔴
Référence CIS : CIS Azure 9.1.1
MITRE ATT&CK : T1078.004

Description : Activer les identités managées (System-assigned ou User-assigned) pour tous les App Services afin d’éliminer l’utilisation de secrets codés en dur.

Vérification :

  • Portal > App Service > Identity
  • CLI: az webapp identity show –name MyApp –resource-group MyRG
  • PowerShell: (Get-AzWebApp -ResourceGroupName “MyRG” -Name “MyApp”).Identity

Remédiation :

  1. Activer System-assigned Managed Identity
  2. Assigner les rôles nécessaires aux ressources Azure
  3. Modifier le code pour utiliser DefaultAzureCredential
# Activer Managed Identity pour App Service
Set-AzWebApp -ResourceGroupName "MyRG" -Name "MyApp" -AssignIdentity $true
# Assigner des permissions Key Vault
$webapp = Get-AzWebApp -ResourceGroupName "MyRG" -Name "MyApp"
New-AzRoleAssignment -ObjectId $webapp.Identity.PrincipalId -RoleDefinitionName "Key Vault Secrets User" -Scope "/subscriptions/{sub}/resourceGroups/MyRG/providers/Microsoft.KeyVault/vaults/MyKeyVault"

Valeur par défaut : Désactivé

9.3.2 — Authentication/Authorization (EasyAuth) configuré

Niveau : 🔴
Référence CIS : CIS Azure 9.1.2
MITRE ATT&CK : T1078.004

Description : Configurer l’authentification et l’autorisation intégrées d’App Service (EasyAuth) pour sécuriser l’accès aux applications.

Vérification :

  • Portal > App Service > Authentication/Authorization
  • CLI: az webapp auth show –name MyApp –resource-group MyRG
  • PowerShell: Get-AzWebAppAuthSettings -ResourceGroupName “MyRG” -Name “MyApp”

Remédiation :

  1. Activer l’authentification App Service
  2. Configurer Azure AD comme fournisseur d’identité
  3. Définir les actions à effectuer avec les demandes non authentifiées
# Configurer l'authentification Azure AD
Set-AzWebAppAuthSettings -ResourceGroupName "MyRG" -Name "MyApp" -Enabled $true -DefaultProvider "AzureActiveDirectory" -UnauthenticatedClientAction "RedirectToLoginPage"

Valeur par défaut : Désactivé

9.4 — TLS ET CHIFFREMENT

9.4.1 — HTTPS Only obligatoire et TLS 1.2 minimum

Niveau : 🔴
Référence CIS : CIS Azure 9.2.1
MITRE ATT&CK : T1040

Description : Forcer HTTPS uniquement et configurer TLS 1.2 comme version minimale pour sécuriser toutes les communications avec l’App Service.

Vérification :

  • Portal > App Service > TLS/SSL settings
  • CLI: az webapp show –name MyApp –resource-group MyRG –query “{HttpsOnly:httpsOnly,MinTlsVersion:siteConfig.minTlsVersion}”
  • PowerShell: Get-AzWebApp -ResourceGroupName “MyRG” -Name “MyApp” | Select-Object HttpsOnly, MinTlsVersion

Remédiation :

  1. Activer HTTPS Only dans les paramètres TLS/SSL
  2. Configurer la version TLS minimale à 1.2
  3. Tester l’accès HTTP pour vérifier la redirection
# Forcer HTTPS et TLS 1.2
Set-AzWebApp -ResourceGroupName "MyRG" -Name "MyApp" -HttpsOnly $true
$webappConfig = (Get-AzWebApp -ResourceGroupName "MyRG" -Name "MyApp").SiteConfig
$webappConfig.MinTlsVersion = "1.2"
Set-AzWebApp -ResourceGroupName "MyRG" -Name "MyApp" -SiteConfig $webappConfig

Valeur par défaut : HTTP autorisé, TLS 1.0+

9.4.2 — Certificats SSL/TLS gérés automatiquement

Niveau : 🟠
Référence CIS : CIS Azure 9.2.2
MITRE ATT&CK : T1040

Description : Utiliser des certificats SSL/TLS gérés par Azure ou App Service pour simplifier la gestion et assurer le renouvellement automatique.

Vérification :

  • Portal > App Service > TLS/SSL settings > Private Key Certificates
  • CLI: az webapp config ssl list –resource-group MyRG
  • PowerShell: Get-AzWebAppSSLBinding -ResourceGroupName “MyRG” -WebAppName “MyApp”

Remédiation :

  1. Configurer un domaine personnalisé
  2. Créer un certificat géré App Service gratuit
  3. Lier le certificat au domaine
# Créer et lier un certificat géré
New-AzWebAppSSLBinding -ResourceGroupName "MyRG" -WebAppName "MyApp" -Name "www.mydomain.com" -CertificateFilePath $null -Thumbprint $null -SSLState "SniEnabled"

Valeur par défaut : Certificat par défaut uniquement

9.5 — RESTRICTIONS D’ACCÈS ET SÉCURITÉ RÉSEAU

9.5.1 — Restrictions d’accès par IP configurées

Niveau : 🔴
Référence CIS : CIS Azure 9.3.1
MITRE ATT&CK : T1071.001

Description : Configurer des restrictions d’accès par adresse IP pour limiter l’accès aux App Services depuis des sources autorisées uniquement.

Vérification :

  • Portal > App Service > Networking > Access restrictions
  • CLI: az webapp config access-restriction show –name MyApp –resource-group MyRG
  • PowerShell: Get-AzWebAppAccessRestrictionConfig -ResourceGroupName “MyRG” -Name “MyApp”

Remédiation :

  1. Identifier les plages IP autorisées
  2. Configurer les règles de restriction d’accès
  3. Tester l’accès depuis différentes sources
# Configurer des restrictions d'accès IP
Add-AzWebAppAccessRestrictionRule -ResourceGroupName "MyRG" -WebAppName "MyApp" -Name "OfficeNetwork" -IpAddress "203.0.113.0/24" -Priority 100 -Action Allow
Add-AzWebAppAccessRestrictionRule -ResourceGroupName "MyRG" -WebAppName "MyApp" -Name "VPN" -IpAddress "10.0.0.0/8" -Priority 110 -Action Allow

Valeur par défaut : Accès ouvert

9.5.2 — Private Endpoints pour App Services Premium

Niveau : 🟠
Référence CIS : CIS Azure 9.3.2
MITRE ATT&CK : T1071.001

Description : Configurer des Private Endpoints pour les App Services critiques afin d’éliminer l’exposition Internet public.

Vérification :

  • Portal > App Service > Networking > Private endpoints
  • CLI: az network private-endpoint list –resource-group MyRG
  • PowerShell: Get-AzPrivateEndpoint -ResourceGroupName “MyRG”

Remédiation :

  1. Upgrader vers un plan App Service Premium si nécessaire
  2. Créer un Private Endpoint dans le réseau virtuel
  3. Configurer la zone DNS privée
# Créer un Private Endpoint pour App Service
$subnet = Get-AzVirtualNetworkSubnetConfig -Name "PrivateEndpointSubnet" -VirtualNetwork $vnet
New-AzPrivateEndpoint -ResourceGroupName "MyRG" -Name "appservice-pe" -Location "France Central" -Subnet $subnet -PrivateLinkServiceId "/subscriptions/{sub}/resourceGroups/MyRG/providers/Microsoft.Web/sites/MyApp" -GroupId "sites"

Valeur par défaut : Accès public

9.6 — SURVEILLANCE ET DIAGNOSTIC

9.6.1 — Application Insights intégré et configuré

Niveau : 🟠
Référence CIS : CIS Azure 9.4.1
MITRE ATT&CK : T1562.001

Description : Intégrer Application Insights pour surveiller les performances, diagnostiquer les problèmes et détecter les anomalies de sécurité.

Vérification :

  • Portal > App Service > Application Insights
  • CLI: az monitor app-insights component show –app MyApp –resource-group MyRG
  • PowerShell: Get-AzApplicationInsights -ResourceGroupName “MyRG” -Name “MyApp-insights”

Remédiation :

  1. Créer une ressource Application Insights
  2. Connecter l’App Service à Application Insights
  3. Configurer des alertes personnalisées
# Créer et configurer Application Insights
New-AzApplicationInsights -ResourceGroupName "MyRG" -Name "MyApp-insights" -Location "France Central" -Kind "web"
$insights = Get-AzApplicationInsights -ResourceGroupName "MyRG" -Name "MyApp-insights"
Set-AzWebApp -ResourceGroupName "MyRG" -Name "MyApp" -AppSettings @{"APPINSIGHTS_INSTRUMENTATIONKEY" = $insights.InstrumentationKey}

Valeur par défaut : Non configuré

9.6.2 — Logs de diagnostic configurés

Niveau : 🔴
Référence CIS : CIS Azure 9.4.2
MITRE ATT&CK : T1562.001

Description : Configurer les logs de diagnostic pour capturer et analyser les événements de sécurité et de performance des App Services.

Vérification :

  • Portal > App Service > Monitoring > Diagnostic settings
  • CLI: az monitor diagnostic-settings list –resource MyApp
  • PowerShell: Get-AzDiagnosticSetting -ResourceId $appServiceId

Remédiation :

  1. Activer les logs de diagnostic appropriés
  2. Configurer l’envoi vers Log Analytics
  3. Créer des requêtes de surveillance personnalisées
# Configurer les diagnostics App Service
$appService = Get-AzWebApp -ResourceGroupName "MyRG" -Name "MyApp"
$workspace = Get-AzOperationalInsightsWorkspace -ResourceGroupName "MyRG" -Name "MyWorkspace"
Set-AzDiagnosticSetting -ResourceId $appService.Id -WorkspaceId $workspace.ResourceId -Enabled $true -Category @("AppServiceHTTPLogs", "AppServiceConsoleLogs", "AppServiceAppLogs")

Valeur par défaut : Logs désactivés

S10 — AZURE KUBERNETES SERVICE (AKS)

10.1.1 — Cluster AKS privé avec Azure AD integration

Niveau : 🔴
Référence CIS : CIS Azure 10.1
MITRE ATT&CK : T1078.004

Description : Les clusters AKS doivent être privés avec intégration Azure AD pour l’authentification et RBAC Kubernetes.

Vérification :

  • Portal > Kubernetes services > Networking
  • CLI: az aks show –name –query “privateCluster”

Remédiation :

  1. Déploiement cluster privé
  2. Intégration Azure AD
  3. Configuration RBAC Kubernetes

10.2.1 — Network policies activées

Niveau : 🟠
Référence CIS : CIS Azure 10.2
MITRE ATT&CK : T1095

Description : Les network policies doivent être activées pour contrôler la communication entre pods dans le cluster AKS.

Vérification :

  • Portal > Kubernetes services > Networking > Network policy
  • CLI: az aks show –name –query “networkProfile.networkPolicy”

Remédiation :

  1. Activer Azure Network Policy ou Calico
  2. Définir network policies restrictives
  3. Test de connectivité inter-pods

10.3 — SÉCURITÉ DES PODS ET RBAC

10.3.1 — Azure AD RBAC intégré pour AKS

Niveau : 🔴
Référence CIS : CIS Azure 10.1.1
MITRE ATT&CK : T1078.004

Description : Intégrer Azure AD avec AKS et configurer RBAC pour contrôler l’accès aux ressources Kubernetes basé sur les identités Azure AD.

Vérification :

  • Portal > AKS cluster > Access control (IAM)
  • CLI: az aks show –name MyAKS –resource-group MyRG –query “aadProfile”
  • PowerShell: (Get-AzAksCluster -ResourceGroupName “MyRG” -Name “MyAKS”).AadProfile

Remédiation :

  1. Activer l’intégration Azure AD lors de la création du cluster
  2. Configurer des RoleBindings et ClusterRoleBindings
  3. Assigner des utilisateurs/groupes aux rôles appropriés
# Créer un cluster AKS avec intégration Azure AD
New-AzAksCluster -ResourceGroupName "MyRG" -Name "MyAKS" -NodeCount 3 -EnableAadProfile -AadProfileManaged -EnableRbac
# Assigner des rôles AKS
New-AzRoleAssignment -SignInName "admin@domain.com" -RoleDefinitionName "Azure Kubernetes Service Cluster Admin Role" -Scope "/subscriptions/{sub}/resourceGroups/MyRG/providers/Microsoft.ContainerService/managedClusters/MyAKS"

Valeur par défaut : Authentification locale

10.3.2 — Pod Security Standards configurés

Niveau : 🔴
Référence CIS : CIS Azure 10.1.2
MITRE ATT&CK : T1611

Description : Implémenter les Pod Security Standards pour restreindre les capacités des pods et réduire la surface d’attaque.

Vérification :

  • CLI: kubectl get podsecuritypolicy
  • CLI: az aks show –name MyAKS –resource-group MyRG –query “podSecurityProfile”
  • PowerShell: kubectl get namespace default -o yaml | grep -i security

Remédiation :

  1. Activer Pod Security Standards au niveau du namespace
  2. Configurer les profils de sécurité appropriés (restricted/baseline)
  3. Tester les déploiements avec les nouvelles politiques
# Configurer Pod Security Standards
kubectl label namespace default pod-security.kubernetes.io/enforce=restricted
kubectl label namespace default pod-security.kubernetes.io/audit=restricted  
kubectl label namespace default pod-security.kubernetes.io/warn=restricted

Valeur par défaut : Politiques permissives

10.4 — NETWORK POLICIES ET SEGMENTATION

10.4.1 — Network Policies Kubernetes activées

Niveau : 🔴
Référence CIS : CIS Azure 10.2.1
MITRE ATT&CK : T1071.001

Description : Configurer des Network Policies Kubernetes pour contrôler le trafic réseau entre les pods et implémenter la segmentation.

Vérification :

  • CLI: kubectl get networkpolicies –all-namespaces
  • CLI: az aks show –name MyAKS –resource-group MyRG –query “networkProfile.networkPolicy”
  • PowerShell: kubectl describe networkpolicy

Remédiation :

  1. Activer Calico ou Azure Network Policy
  2. Créer des NetworkPolicies par namespace
  3. Implémenter le principe de moindre privilège réseau
# Exemple de Network Policy restrictive
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: deny-all-ingress
  namespace: production
spec:
  podSelector: {}
  policyTypes:
  - Ingress

Valeur par défaut : Pas de restrictions réseau

10.4.2 — Private Cluster avec API Server privé

Niveau : 🟠
Référence CIS : CIS Azure 10.2.2
MITRE ATT&CK : T1071.001

Description : Configurer AKS comme cluster privé pour que l’API Server ne soit accessible que depuis des réseaux privés.

Vérification :

  • Portal > AKS cluster > Networking > Check Private cluster
  • CLI: az aks show –name MyAKS –resource-group MyRG –query “apiServerAccessProfile”
  • PowerShell: (Get-AzAksCluster -ResourceGroupName “MyRG” -Name “MyAKS”).ApiServerAccessProfile

Remédiation :

  1. Créer un cluster AKS privé ou migrer un cluster existant
  2. Configurer des plages IP autorisées si nécessaire
  3. Utiliser Azure Bastion ou VPN pour l’accès administratif
# Créer un cluster AKS privé
New-AzAksCluster -ResourceGroupName "MyRG" -Name "MyPrivateAKS" -EnablePrivateCluster -PrivateDnsZone "System"

Valeur par défaut : API Server public

10.5 — SECRETS ET IDENTITÉS

10.5.1 — Azure Key Vault Provider for Secrets Store CSI Driver

Niveau : 🔴
Référence CIS : CIS Azure 10.3.1
MITRE ATT&CK : T1552.007

Description : Utiliser le CSI Driver Azure Key Vault pour injecter des secrets depuis Key Vault dans les pods AKS de manière sécurisée.

Vérification :

  • CLI: kubectl get pods -n kube-system | grep secrets-store-csi-driver
  • CLI: az aks addon list –cluster-name MyAKS –resource-group MyRG
  • PowerShell: kubectl get secretproviderclass

Remédiation :

  1. Activer l’addon Azure Key Vault Provider
  2. Configurer des SecretProviderClass
  3. Modifier les déploiements pour utiliser les volumes CSI
# Activer le CSI driver Key Vault
az aks enable-addons --addons azure-keyvault-secrets-provider --name MyAKS --resource-group MyRG

Valeur par défaut : Secrets Kubernetes natifs

10.5.2 — Workload Identity pour les pods

Niveau : 🔴
Référence CIS : CIS Azure 10.3.2
MITRE ATT&CK : T1078.004

Description : Configurer Azure AD Workload Identity pour permettre aux pods d’authentifier avec les services Azure sans stocker de secrets.

Vérification :

  • CLI: az aks show –name MyAKS –resource-group MyRG –query “oidcIssuerProfile”
  • CLI: kubectl get serviceaccount -o yaml | grep azure.workload.identity
  • PowerShell: Get-AzAksCluster -Name “MyAKS” -ResourceGroupName “MyRG”

Remédiation :

  1. Activer OIDC Issuer et Workload Identity sur AKS
  2. Créer des identités managées utilisateur
  3. Configurer la fédération d’identité
# Activer Workload Identity
az aks update --resource-group MyRG --name MyAKS --enable-oidc-issuer --enable-workload-identity

Valeur par défaut : Service Account tokens

10.6 — IMAGE SECURITY ET SCANNING

10.6.1 — Azure Defender for containers activé

Niveau : 🔴
Référence CIS : CIS Azure 10.4.1
MITRE ATT&CK : T1611

Description : Activer Azure Defender for containers pour scanner les vulnérabilités dans les images et surveiller l’activité des clusters.

Vérification :

  • Portal > Security Center > Pricing & settings > Containers
  • CLI: az security pricing show –name “Containers”
  • PowerShell: Get-AzSecurityPricing -Name “Containers”

Remédiation :

  1. Activer Defender for containers dans Security Center
  2. Configurer les agents de surveillance
  3. Examiner les recommandations de sécurité
# Activer Defender for containers
Set-AzSecurityPricing -Name "Containers" -PricingTier "Standard"

Valeur par défaut : Tier gratuit

10.6.2 — Admission controllers sécurisés configurés

Niveau : 🟠
Référence CIS : CIS Azure 10.4.2
MITRE ATT&CK : T1611

Description : Configurer des admission controllers pour valider et modifier les ressources Kubernetes avant leur création selon les politiques de sécurité.

Vérification :

  • CLI: kubectl get validatingadmissionwebhooks
  • CLI: kubectl get mutatingadmissionwebhooks
  • Portal > AKS > Policies (si Azure Policy addon activé)

Remédiation :

  1. Activer l’addon Azure Policy pour AKS
  2. Assigner des définitions de politique appropriées
  3. Configurer des admission controllers personnalisés si nécessaire
# Activer Azure Policy addon
az aks enable-addons --addons azure-policy --name MyAKS --resource-group MyRG

Valeur par défaut : Admission controllers de base uniquement

S11 — GOVERNANCE ET COMPLIANCE

11.1.1 — Azure Policy initiatives assignées

Niveau : 🟠
Référence CIS : CIS Azure 11.1
MITRE ATT&CK : T1562

Description : Les initiatives Azure Policy pertinentes doivent être assignées : Azure Security Benchmark, CIS, compliance frameworks.

Vérification :

  • Portal > Policy > Assignments
  • CLI: az policy assignment list

Remédiation :

  1. Assigner Azure Security Benchmark
  2. Assigner initiatives compliance requises
  3. Configurer remediation automatique

11.2.1 — Resource locks sur ressources critiques

Niveau : 🟡
Référence CIS : CIS Azure 11.2
MITRE ATT&CK : T1485

Description : Des verrous de ressources doivent être appliqués sur les ressources critiques pour prévenir la suppression accidentelle.

Vérification :

  • Portal > Resources > Locks
  • CLI: az lock list

Remédiation :

  1. Identifier ressources critiques
  2. Appliquer CanNotDelete locks
  3. Documentation des exceptions

11.3 — AZURE POLICY ET BLUEPRINTS

11.3.1 — Azure Policy configuré avec initiatives de sécurité

Niveau : 🔴
Référence CIS : CIS Azure 11.1.1
MITRE ATT&CK : T1562.001

Description : Implémenter Azure Policy avec les initiatives de sécurité intégrées pour assurer la conformité continue des ressources Azure.

Vérification :

  • Portal > Policy > Compliance
  • CLI: az policy assignment list –scope /subscriptions/{subscription-id}
  • PowerShell: Get-AzPolicyAssignment

Remédiation :

  1. Assigner l’initiative “Azure Security Benchmark”
  2. Configurer des politiques personnalisées selon les besoins
  3. Surveiller la conformité et corriger les non-conformités
# Assigner Azure Security Benchmark
$subscription = Get-AzSubscription
New-AzPolicyAssignment -Name "Azure-Security-Benchmark" -DisplayName "Azure Security Benchmark Initiative" -PolicySetDefinition "/providers/Microsoft.Authorization/policySetDefinitions/1f3afdf9-d0c9-4c3d-847f-89da613e70a8" -Scope "/subscriptions/$($subscription.Id)"

Valeur par défaut : Pas de politiques assignées

11.3.2 — Azure Blueprints pour la gouvernance d’entreprise

Niveau : 🟠
Référence CIS : CIS Azure 11.1.2
MITRE ATT&CK : T1562.001

Description : Utiliser Azure Blueprints pour déployer de manière cohérente des environnements conformes avec les politiques, rôles et ressources prédéfinies.

Vérification :

  • Portal > Blueprints > Blueprint definitions
  • CLI: az blueprint list –management-group {mg-id}
  • PowerShell: Get-AzBlueprint

Remédiation :

  1. Créer des définitions de blueprint pour chaque environnement
  2. Inclure les politiques, rôles et templates ARM nécessaires
  3. Assigner les blueprints aux scopes appropriés
# Créer un blueprint de sécurité
Import-AzBlueprintWithArtifact -InputPath "./security-blueprint" -ManagementGroupId "MyMG" -Name "SecurityBlueprint"

Valeur par défaut : Pas de blueprints configurés

11.4 — MANAGEMENT GROUPS ET STRUCTURE

11.4.1 — Management Groups hiérarchiques configurés

Niveau : 🔴
Référence CIS : CIS Azure 11.2.1
MITRE ATT&CK : T1078.004

Description : Structurer les abonnements Azure dans des Management Groups hiérarchiques pour appliquer des politiques et contrôles de gouvernance cohérents.

Vérification :

  • Portal > Management groups
  • CLI: az account management-group list
  • PowerShell: Get-AzManagementGroup

Remédiation :

  1. Créer une hiérarchie de Management Groups appropriée
  2. Déplacer les abonnements dans les bons groupes
  3. Appliquer des politiques au niveau des Management Groups
# Créer une structure de Management Groups
New-AzManagementGroup -GroupName "Corp" -DisplayName "Corporate"
New-AzManagementGroup -GroupName "Prod" -DisplayName "Production" -ParentId "/providers/Microsoft.Management/managementGroups/Corp"
New-AzManagementGroup -GroupName "Dev" -DisplayName "Development" -ParentId "/providers/Microsoft.Management/managementGroups/Corp"

Valeur par défaut : Structure plate

11.4.2 — Resource locks sur les ressources critiques

Niveau : 🔴
Référence CIS : CIS Azure 11.2.2
MITRE ATT&CK : T1485

Description : Appliquer des verrous de ressources (Resource Locks) sur les ressources critiques pour empêcher la suppression ou modification accidentelle.

Vérification :

  • Portal > Resource group > Locks
  • CLI: az lock list –resource-group MyRG
  • PowerShell: Get-AzResourceLock -ResourceGroupName “MyRG”

Remédiation :

  1. Identifier les ressources critiques nécessitant une protection
  2. Appliquer des verrous ReadOnly ou CanNotDelete appropriés
  3. Documenter les procédures de gestion des verrous
# Créer des verrous sur les ressources critiques
New-AzResourceLock -LockName "ProductionVNetLock" -LockLevel CanNotDelete -ResourceGroupName "Production-Network-RG" -ResourceName "Prod-VNet" -ResourceType "Microsoft.Network/virtualNetworks"

Valeur par défaut : Pas de verrous

11.5 — COST MANAGEMENT ET ALERTES

11.5.1 — Budgets et alertes de coûts configurés

Niveau : 🟠
Référence CIS : CIS Azure 11.3.1
MITRE ATT&CK : T1496

Description : Configurer des budgets et alertes de coûts pour surveiller les dépenses Azure et détecter les anomalies de consommation qui pourraient indiquer une compromission.

Vérification :

  • Portal > Cost Management + Billing > Budgets
  • CLI: az consumption budget list
  • PowerShell: Get-AzConsumptionBudget

Remédiation :

  1. Créer des budgets par abonnement et resource group
  2. Configurer des alertes à différents seuils (50%, 75%, 90%)
  3. Intégrer les alertes avec les équipes de sécurité
# Créer un budget avec alertes
$budget = @{
    Amount = 1000
    TimeGrain = "Monthly"
    TimePeriod = @{
        StartDate = "2024-01-01T00:00:00Z"
        EndDate = "2024-12-31T23:59:59Z"
    }
}
New-AzConsumptionBudget -Name "Security-Budget" -Amount 1000 -Category "Cost" -TimeGrain "Monthly" -StartDate "2024-01-01" -EndDate "2024-12-31"

Valeur par défaut : Pas de budgets configurés

11.5.2 — Cost anomaly detection activé

Niveau : 🟠
Référence CIS : CIS Azure 11.3.2
MITRE ATT&CK : T1496

Description : Activer la détection d’anomalies de coûts pour identifier automatiquement les pics de consommation inhabituels qui pourraient indiquer une activité malveillante.

Vérification :

  • Portal > Cost Management + Billing > Cost alerts > Anomaly detection
  • CLI: az consumption budget list –subscription {sub-id}
  • PowerShell: Vérification via l’interface Cost Management

Remédiation :

  1. Activer la détection d’anomalies dans Cost Management
  2. Configurer les destinataires des alertes d’anomalie
  3. Établir des procédures de réponse aux anomalies de coût
# Configuration via PowerShell nécessite des appels REST API
# Exemple de configuration d'alerte de coût
$alertRule = @{
    name = "CostAnomalyAlert"
    properties = @{
        enabled = $true
        threshold = @{
            operator = "GreaterThan"
            value = 500
        }
    }
}

Valeur par défaut : Désactivé

11.6 — COMPLIANCE ET AUDITING

11.6.1 — Azure Compliance Manager configuré

Niveau : 🟠
Référence CIS : CIS Azure 11.4.1
MITRE ATT&CK : T1562.001

Description : Utiliser Microsoft Compliance Manager pour évaluer et gérer la posture de conformité par rapport aux réglementations applicables.

Vérification :

  • Portal > Microsoft Purview compliance portal > Compliance Manager
  • Vérification des scores de conformité et des actions d’amélioration
  • Évaluation des contrôles selon les frameworks applicables

Remédiation :

  1. Configurer les évaluations appropriées (GDPR, ISO 27001, etc.)
  2. Implémenter les actions d’amélioration recommandées
  3. Surveiller régulièrement le score de conformité
# La gestion de Compliance Manager se fait principalement via le portail
# Exemple d'activation de la surveillance de conformité
Enable-AzSecurityContact -Email "compliance@company.com" -Phone "+33123456789" -AlertAdmin -AlertNotifications

Valeur par défaut : Non configuré

11.6.2 — Retention policies pour la gouvernance des données

Niveau : 🔴
Référence CIS : CIS Azure 11.4.2
MITRE ATT&CK : T1485

Description : Configurer des politiques de rétention pour les logs, données et ressources selon les exigences légales et de conformité.

Vérification :

  • Portal > Storage Account > Lifecycle management
  • Portal > Log Analytics > Data retention
  • CLI: az monitor log-analytics workspace show –workspace-name MyWorkspace –resource-group MyRG –query “retentionInDays”

Remédiation :

  1. Définir les exigences de rétention par type de données
  2. Configurer des politiques de cycle de vie automatiques
  3. Implémenter des politiques de suppression sécurisée
# Configurer la rétention dans Log Analytics
Set-AzOperationalInsightsWorkspace -ResourceGroupName "MyRG" -Name "MyWorkspace" -RetentionInDays 90
# Configurer le cycle de vie du stockage
$action = Add-AzStorageAccountManagementPolicyAction -BaseBlobAction Delete -daysAfterModificationGreaterThan 2555
$filter = New-AzStorageAccountManagementPolicyFilter -PrefixMatch "compliance-logs"
$rule = New-AzStorageAccountManagementPolicyRule -Name "ComplianceRetention" -Action $action -Filter $filter
Set-AzStorageAccountManagementPolicy -ResourceGroupName "MyRG" -StorageAccountName "compliancestorage" -Rule $rule

Valeur par défaut : Rétention par défaut (30 jours pour Log Analytics)

S12 — SECRETS ET CHIFFREMENT

12.1.1 — Customer Managed Keys pour services critiques

Niveau : 🟡
Référence CIS : CIS Azure 12.1
MITRE ATT&CK : T1486

Description : Les services critiques doivent utiliser Customer Managed Keys pour le chiffrement plutôt que Microsoft Managed Keys.

Vérification :

  • Portal > Service > Encryption settings
  • CLI: Vérification selon le service

Remédiation :

  1. Évaluer criticité des données
  2. Configurer CMK dans Key Vault
  3. Migration des services vers CMK

12.2.1 — Secrets rotation et lifecycle management

Niveau : 🟠
Référence CIS : CIS Azure 12.2
MITRE ATT&CK : T1552

Description : Tous les secrets doivent avoir une gestion de cycle de vie avec rotation automatique et alertes d’expiration.

Vérification :

  • Portal > Key Vault > Secrets > Expiration dates
  • CLI: az keyvault secret list –vault-name –query “[].attributes.expires”

Remédiation :

  1. Audit des secrets sans expiration
  2. Définir rotation policies
  3. Alertes avant expiration

12.3 — CHIFFREMENT DE BOUT EN BOUT

12.3.1 — Always Encrypted pour SQL Database

Niveau : 🔴
Référence CIS : CIS Azure 12.1.1
MITRE ATT&CK : T1486

Description : Configurer Always Encrypted pour Azure SQL Database afin de chiffrer les données sensibles côté client et maintenir le contrôle des clés de chiffrement.

Vérification :

  • Portal > SQL Database > Security > Always Encrypted keys
  • CLI: az sql db show –name MyDB –server MyServer –resource-group MyRG –query “encryption”
  • PowerShell: Get-AzSqlDatabaseTransparentDataEncryption -ResourceGroupName “MyRG” -ServerName “MyServer” -DatabaseName “MyDB”

Remédiation :

  1. Configurer un Column Master Key dans Azure Key Vault
  2. Créer des Column Encryption Keys
  3. Chiffrer les colonnes sensibles avec SSMS ou T-SQL
# Configurer Always Encrypted via PowerShell
$keyVault = Get-AzKeyVault -VaultName "MyKeyVault"
New-AzKeyVaultKey -VaultName "MyKeyVault" -Name "AlwaysEncryptedKey" -Destination Software
# Configuration des colonnes chiffrées via SSMS ou scripts T-SQL

Valeur par défaut : Données en clair

12.3.2 — Chiffrement en transit obligatoire (TLS 1.2+)

Niveau : 🔴
Référence CIS : CIS Azure 12.1.2
MITRE ATT&CK : T1040

Description : Forcer le chiffrement TLS 1.2 ou supérieur pour toutes les communications avec les services Azure afin de protéger les données en transit.

Vérification :

  • Portal > SQL Server > Security > Firewalls and virtual networks > Minimum TLS version
  • CLI: az sql server show –name MyServer –resource-group MyRG –query “minimalTlsVersion”
  • PowerShell: (Get-AzSqlServer -ResourceGroupName “MyRG” -ServerName “MyServer”).MinimalTlsVersion

Remédiation :

  1. Configurer TLS 1.2 minimum sur tous les services
  2. Vérifier les applications clientes pour la compatibilité TLS 1.2
  3. Tester les connexions après activation
# Forcer TLS 1.2 sur SQL Server
Set-AzSqlServer -ResourceGroupName "MyRG" -ServerName "MyServer" -MinimalTlsVersion "1.2"
# Pour Storage Account
Set-AzStorageAccount -ResourceGroupName "MyRG" -Name "mystorageaccount" -MinimumTlsVersion TLS1_2

Valeur par défaut : TLS 1.0+ autorisé

12.4 — GESTION DES CERTIFICATS

12.4.1 — Certificats avec renouvellement automatique

Niveau : 🔴
Référence CIS : CIS Azure 12.2.1
MITRE ATT&CK : T1552.004

Description : Configurer le renouvellement automatique des certificats SSL/TLS dans Key Vault pour éviter les expirations et maintenir la sécurité.

Vérification :

  • Portal > Key Vault > Certificates > Issuance policy
  • CLI: az keyvault certificate show –vault-name MyKeyVault –name MyCert –query “policy”
  • PowerShell: Get-AzKeyVaultCertificatePolicy -VaultName “MyKeyVault” -Name “MyCert”

Remédiation :

  1. Configurer des Certificate Authorities intégrées (DigiCert, GlobalSign)
  2. Définir des politiques de renouvellement automatique
  3. Configurer des notifications avant expiration
# Configurer une politique de certificat avec renouvellement auto
$policy = New-AzKeyVaultCertificatePolicy -SecretContentType "application/x-pkcs12" -SubjectName "CN=www.mydomain.com" -IssuerName "DigiCert" -RenewAtNumberOfDaysBeforeExpiry 30 -ReuseKeyOnRenewal
Add-AzKeyVaultCertificate -VaultName "MyKeyVault" -Name "WebsiteCert" -CertificatePolicy $policy

Valeur par défaut : Renouvellement manuel

12.4.2 — Monitoring des expirations de certificats

Niveau : 🟠
Référence CIS : CIS Azure 12.2.2
MITRE ATT&CK : T1552.004

Description : Surveiller les dates d’expiration des certificats et configurer des alertes pour éviter les interruptions de service.

Vérification :

  • Portal > Key Vault > Certificates > Check expiration dates
  • CLI: az keyvault certificate list –vault-name MyKeyVault –query “[].{Name:name,Expires:attributes.expires}”
  • PowerShell: Get-AzKeyVaultCertificate -VaultName “MyKeyVault” | Select-Object Name, Expires

Remédiation :

  1. Créer des requêtes Log Analytics pour surveiller les expirations
  2. Configurer des alertes à 90, 30 et 7 jours avant expiration
  3. Automatiser les notifications aux équipes responsables
# Créer une alerte pour les certificats expirant bientôt
$actionGroup = Get-AzActionGroup -ResourceGroupName "MyRG" -Name "CertificateAlerts"
# Requête KQL pour les certificats expirant dans 30 jours
$query = "KeyVaultData | where OperationName == 'CertificateNearExpiry' | where TimeGenerated > ago(1d)"

Valeur par défaut : Pas de surveillance automatique

12.5 — HARDWARE SECURITY MODULES (HSM)

12.5.1 — Dedicated HSM pour les workloads ultra-sensibles

Niveau : 🟠
Référence CIS : CIS Azure 12.3.1
MITRE ATT&CK : T1552.004

Description : Utiliser Azure Dedicated HSM pour les workloads nécessitant un contrôle exclusif du matériel cryptographique et une certification FIPS 140-2 Level 3.

Vérification :

  • Portal > Azure Dedicated HSM
  • CLI: az dedicated-hsm list
  • PowerShell: Get-AzDedicatedHsm

Remédiation :

  1. Évaluer les besoins en HSM dédié vs Managed HSM
  2. Déployer Dedicated HSM dans un réseau virtuel
  3. Configurer la haute disponibilité et la sauvegarde
# Déployer un Dedicated HSM (nécessite une planification préalable)
New-AzDedicatedHsm -Name "MyDedicatedHSM" -ResourceGroupName "MyRG" -Location "France Central" -NetworkProfile $networkProfile

Valeur par défaut : Non disponible

12.5.2 — Key Management interoperable avec PKCS#11

Niveau : 🟠
Référence CIS : CIS Azure 12.3.2
MITRE ATT&CK : T1552.004

Description : Configurer la gestion des clés avec support PKCS#11 pour l’interopérabilité avec les applications existantes utilisant des standards HSM.

Vérification :

  • Documentation technique des HSM déployés
  • Test de compatibilité PKCS#11 avec les applications
  • Vérification des interfaces cryptographiques

Remédiation :

  1. Configurer les bibliothèques PKCS#11 appropriées
  2. Tester l’intégration avec les applications critiques
  3. Documenter les procédures d’utilisation PKCS#11
# Configuration PKCS#11 (exemple pour Linux)
# Installation des bibliothèques HSM
sudo apt-get install opensc-pkcs11
# Configuration des applications pour utiliser PKCS#11
export PKCS11_MODULE="/usr/lib/x86_64-linux-gnu/opensc-pkcs11.so"

Valeur par défaut : APIs propriétaires uniquement

S13 — CONTAINERS ET REGISTRIES

13.1.1 — Container Registry scanning des vulnérabilités

Niveau : 🟠
Référence CIS : CIS Azure 13.1
MITRE ATT&CK : T1203

Description : Azure Container Registry doit scanner automatiquement les images pour détecter les vulnérabilités.

Vérification :

  • Portal > Container Registry > Repositories > Scan results
  • CLI: az acr task list –registry

Remédiation :

  1. Activer vulnerability scanning
  2. Policies de blocage images vulnérables
  3. Processus de remediation

13.2.1 — Container Registry access restreint

Niveau : 🟠
Référence CIS : CIS Azure 13.2
MITRE ATT&CK : T1190

Description : L’accès à Container Registry doit être restreint avec authentification appropriée et network rules.

Vérification :

  • Portal > Container Registry > Access control (IAM)
  • CLI: az acr show –name –query “networkRuleSet”

Remédiation :

  1. RBAC avec rôles granulaires
  2. Network rules restrictives
  3. Private endpoints si requis

13.3 — AZURE CONTAINER REGISTRY SECURITY

13.3.1 — Vulnerability scanning activé sur ACR

Niveau : 🔴
Référence CIS : CIS Azure 13.1.1
MITRE ATT&CK : T1610

Description : Activer l’analyse des vulnérabilités sur Azure Container Registry pour scanner automatiquement toutes les images pusheés et détecter les failles de sécurité.

Vérification :

  • Portal > Container Registry > Security > Vulnerability scanning
  • CLI: az acr task list –registry MyACR –resource-group MyRG
  • PowerShell: Get-AzContainerRegistryReplication -RegistryName “MyACR” -ResourceGroupName “MyRG”

Remédiation :

  1. Upgrader vers ACR Premium tier si nécessaire
  2. Activer Defender for container registries
  3. Configurer des politiques de quarantaine pour les images vulnérables
# Activer Defender for container registries
Set-AzSecurityPricing -Name "ContainerRegistry" -PricingTier "Standard"
# Créer un ACR Premium avec scanning
New-AzContainerRegistry -ResourceGroupName "MyRG" -Name "MyACR" -Sku "Premium" -Location "France Central" -EnableAdminUser $false

Valeur par défaut : Scanning désactivé

13.3.2 — Content Trust et signature d’images

Niveau : 🔴
Référence CIS : CIS Azure 13.1.2
MITRE ATT&CK : T1195.001

Description : Activer Docker Content Trust et la signature d’images pour garantir l’intégrité et l’authenticité des images de conteneurs.

Vérification :

  • Portal > Container Registry > Policies > Content trust
  • CLI: az acr config content-trust show –registry MyACR
  • PowerShell: Vérification via Azure REST API

Remédiation :

  1. Activer Content Trust sur ACR Premium
  2. Configurer Notary pour la signature d’images
  3. Forcer la vérification de signature dans les clusters
# Activer Content Trust (nécessite ACR Premium)
az acr config content-trust update --registry MyACR --status enabled

Valeur par défaut : Content Trust désactivé

13.4 — POLITIQUES DE SÉCURITÉ CONTAINERS

13.4.1 — Quarantine policy pour les images vulnérables

Niveau : 🔴
Référence CIS : CIS Azure 13.2.1
MITRE ATT&CK : T1610

Description : Configurer des politiques de quarantaine automatique pour bloquer le déploiement d’images contenant des vulnérabilités critiques ou élevées.

Vérification :

  • Portal > Container Registry > Policies > Quarantine policy
  • CLI: az acr config quarantine show –registry MyACR
  • PowerShell: Vérification via les métriques de sécurité ACR

Remédiation :

  1. Configurer la quarantaine automatique basée sur les scores CVSS
  2. Définir des exceptions pour les images approuvées
  3. Intégrer avec les pipelines CI/CD pour bloquer les déploiements
# Activer la quarantaine pour les vulnérabilités élevées
az acr config quarantine update --registry MyACR --status enabled --policy-type "VulnerabilityBasedPolicy"

Valeur par défaut : Pas de quarantaine automatique

13.4.2 — Image scanning automatisé dans les pipelines

Niveau : 🔴
Référence CIS : CIS Azure 13.2.2
MITRE ATT&CK : T1610

Description : Intégrer l’analyse de sécurité des images dans les pipelines CI/CD pour détecter les vulnérabilités avant le déploiement en production.

Vérification :

  • Portal > Azure DevOps > Pipelines > Security tasks
  • Vérification des tasks de scanning dans les YAML pipelines
  • Review des rapports de sécurité des builds

Remédiation :

  1. Ajouter des tasks de scanning dans les pipelines Azure DevOps
  2. Configurer des gates de sécurité pour bloquer les déploiements
  3. Intégrer avec des outils comme Twistlock, Aqua ou Defender for DevOps
# Exemple de pipeline Azure DevOps avec scanning
- task: ContainerScan@0
  displayName: 'Scan container images'
  inputs:
    containerRegistry: 'MyACR'
    repository: 'myapp'
    tag: '$(Build.BuildId)'
    scanType: 'Basic'

Valeur par défaut : Pas de scanning automatisé

13.5 — RUNTIME SECURITY

13.5.1 — Runtime protection avec Defender for Containers

Niveau : 🔴
Référence CIS : CIS Azure 13.3.1
MITRE ATT&CK : T1611

Description : Activer Defender for Containers pour la protection runtime et la détection de menaces dans les environnements de conteneurs.

Vérification :

  • Portal > Security Center > Pricing & settings > Containers plan
  • CLI: az security pricing show –name “Containers”
  • PowerShell: Get-AzSecurityPricing -Name “Containers”

Remédiation :

  1. Activer Defender for Containers sur tous les clusters
  2. Configurer les agents de surveillance sur les nœuds
  3. Surveiller les alertes de sécurité runtime
# Activer Defender for Containers
Set-AzSecurityPricing -Name "Containers" -PricingTier "Standard"
# Installer l'extension Defender sur AKS
az k8s-extension create --name microsoft.azuresecuritypack.defender --cluster-type managedClusters --cluster-name MyAKS --resource-group MyRG --extension-type microsoft.azuresecuritypack.defender

Valeur par défaut : Protection de base uniquement

13.5.2 — Network segmentation pour containers

Niveau : 🟠
Référence CIS : CIS Azure 13.3.2
MITRE ATT&CK : T1071.001

Description : Implémenter la segmentation réseau pour isoler les workloads de conteneurs et limiter la propagation latérale en cas de compromission.

Vérification :

  • CLI: kubectl get networkpolicies –all-namespaces
  • Portal > AKS > Networking > Network policy
  • Vérification des règles de micro-segmentation

Remédiation :

  1. Créer des Network Policies Kubernetes granulaires
  2. Implémenter la segmentation par namespace et labels
  3. Utiliser des solutions comme Calico ou Azure Network Policy
# Exemple de Network Policy pour isolation
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: deny-all-ingress
  namespace: production
spec:
  podSelector: {}
  policyTypes:
  - Ingress
  - Egress
  egress:
  - to: []
    ports:
    - protocol: TCP
      port: 443
    - protocol: TCP  
      port: 53
    - protocol: UDP
      port: 53

Valeur par défaut : Communication ouverte entre pods

13.6 — COMPLIANCE ET GOUVERNANCE

13.6.1 — Image compliance policies avec OPA Gatekeeper

Niveau : 🟠
Référence CIS : CIS Azure 13.4.1
MITRE ATT&CK : T1610

Description : Utiliser OPA Gatekeeper pour implémenter des politiques de conformité des images et empêcher le déploiement d’images non conformes.

Vérification :

  • CLI: kubectl get constraint
  • CLI: kubectl get constrainttemplate
  • Portal > AKS > Policies (si Azure Policy est activé)

Remédiation :

  1. Installer OPA Gatekeeper sur le cluster AKS
  2. Créer des ConstraintTemplates pour la validation d’images
  3. Appliquer des Constraints pour enforcer les politiques
# Exemple de constraint pour images approuvées uniquement
apiVersion: templates.gatekeeper.sh/v1beta1
kind: ConstraintTemplate
metadata:
  name: allowedrepos
spec:
  crd:
    spec:
      names:
        kind: AllowedRepos
      validation:
        type: object
        properties:
          repos:
            type: array
            items:
              type: string
  targets:
    - target: admission.k8s.gatekeeper.sh
      rego: |
        package allowedrepos
        violation[{"msg": msg}] {
          container := input.review.object.spec.containers[_]
          not starts_with(container.image, input.parameters.repos[_])
          msg := "Image not from approved registry"
        }

Valeur par défaut : Pas de validation d’images automatisée

S14 — BACKUP ET DISASTER RECOVERY

14.1.1 — Azure Backup configuré pour ressources critiques

Niveau : 🟠
Référence CIS : CIS Azure 14.1
MITRE ATT&CK : T1485

Description : Azure Backup doit être configuré pour toutes les ressources critiques avec politique de rétention appropriée.

Vérification :

  • Portal > Recovery Services vault > Backup items
  • CLI: az backup item list –vault-name

Remédiation :

  1. Identifier ressources à sauvegarder
  2. Configurer backup policies
  3. Test de restauration réguliers

14.2.1 — Site Recovery pour continuité d’activité

Niveau : 🟡
Référence CIS : CIS Azure 14.2
MITRE ATT&CK : T1485

Description : Azure Site Recovery doit être configuré pour les applications critiques nécessitant un RTO faible.

Vérification :

  • Portal > Recovery Services vault > Site Recovery
  • CLI: az site-recovery vault list

Remédiation :

  1. Évaluer besoins RTO/RPO
  2. Configurer réplication vers région secondaire
  3. Tests de failover réguliers

14.3 — AZURE BACKUP AVANCÉ

14.3.1 — Backup cross-region pour la continuité d’activité

Niveau : 🔴
Référence CIS : CIS Azure 14.1.1
MITRE ATT&CK : T1485

Description : Configurer des sauvegardes cross-region avec Azure Backup pour assurer la récupération en cas de défaillance régionale majeure.

Vérification :

  • Portal > Recovery Services vault > Backup items > Check geo-replication
  • CLI: az backup vault show –name MyVault –resource-group MyRG –query “properties.storageType”
  • PowerShell: Get-AzRecoveryServicesVault -ResourceGroupName “MyRG” -Name “MyVault”

Remédiation :

  1. Configurer le stockage géo-redondant (GRS) sur les Recovery Services vaults
  2. Activer Cross Region Restore si disponible
  3. Tester la restauration depuis la région secondaire
# Configurer le stockage géo-redondant
$vault = Get-AzRecoveryServicesVault -ResourceGroupName "MyRG" -Name "MyVault"
Set-AzRecoveryServicesVaultContext -Vault $vault
Set-AzRecoveryServicesBackupProperty -Vault $vault -BackupStorageRedundancy GeoRedundant

Valeur par défaut : Stockage localement redondant (LRS)

14.3.2 — Immutable backup pour protection ransomware

Niveau : 🔴
Référence CIS : CIS Azure 14.1.2
MITRE ATT&CK : T1486

Description : Activer les sauvegardes immuables pour protéger les données de sauvegarde contre la suppression ou modification malveillante, notamment lors d’attaques ransomware.

Vérification :

  • Portal > Recovery Services vault > Properties > Security Settings > Immutability
  • CLI: az backup vault backup-properties show –resource-group MyRG –vault-name MyVault
  • PowerShell: Get-AzRecoveryServicesVaultProperty -VaultId $vault.ID

Remédiation :

  1. Activer Immutability sur le Recovery Services vault
  2. Configurer la durée de rétention minimale
  3. Tester l’impossibilité de suppression des points de récupération
# Activer l'immutabilité des sauvegardes
Set-AzRecoveryServicesVaultProperty -VaultId $vault.ID -ImmutabilityState "Unlocked"
# Verrouiller après configuration
Set-AzRecoveryServicesVaultProperty -VaultId $vault.ID -ImmutabilityState "Locked"

Valeur par défaut : Sauvegardes modifiables

14.4 — DISASTER RECOVERY AUTOMATION

14.4.1 — Azure Site Recovery pour les VM critiques

Niveau : 🔴
Référence CIS : CIS Azure 14.2.1
MITRE ATT&CK : T1485

Description : Configurer Azure Site Recovery pour la réplication automatique et le basculement des machines virtuelles critiques vers une région secondaire.

Vérification :

  • Portal > Recovery Services vault > Site Recovery > Replicated items
  • CLI: az backup protection show –container-name MyContainer –item-name MyVM –resource-group MyRG –vault-name MyVault
  • PowerShell: Get-AzRecoveryServicesAsrReplicationProtectedItem

Remédiation :

  1. Configurer la réplication vers une région Azure secondaire
  2. Créer des plans de récupération automatisés
  3. Effectuer des tests de basculement réguliers
# Configurer Site Recovery pour une VM
$vault = Get-AzRecoveryServicesVault -ResourceGroupName "MyRG" -Name "MyVault"
Set-AzRecoveryServicesAsrVaultContext -Vault $vault
$fabric = Get-AzRecoveryServicesAsrFabric -Name "AzureFabric"
$container = Get-AzRecoveryServicesAsrProtectionContainer -Fabric $fabric
Enable-AzRecoveryServicesAsrProtection -ReplicationProtectedItem $vm -ProtectionContainer $container -Policy $policy

Valeur par défaut : Pas de réplication automatique

14.4.2 — Runbooks automatisés pour le disaster recovery

Niveau : 🟠
Référence CIS : CIS Azure 14.2.2
MITRE ATT&CK : T1485

Description : Créer des runbooks Azure Automation pour automatiser les procédures de récupération d’urgence et réduire les temps de récupération (RTO).

Vérification :

  • Portal > Automation Account > Runbooks > DR procedures
  • CLI: az automation runbook list –automation-account-name MyAutomation –resource-group MyRG
  • PowerShell: Get-AzAutomationRunbook -AutomationAccountName “MyAutomation” -ResourceGroupName “MyRG”

Remédiation :

  1. Créer des runbooks pour les procédures de basculement
  2. Configurer des webhooks pour l’activation automatique
  3. Tester régulièrement les runbooks DR
# Créer un runbook de disaster recovery
Import-AzAutomationRunbook -AutomationAccountName "MyAutomation" -ResourceGroupName "MyRG" -Name "DR-Failover" -Type PowerShell -Path "./DR-Failover.ps1"
Publish-AzAutomationRunbook -AutomationAccountName "MyAutomation" -ResourceGroupName "MyRG" -Name "DR-Failover"

Valeur par défaut : Procédures manuelles

14.5 — TESTS ET VALIDATION DR

14.5.1 — Tests de disaster recovery automatisés

Niveau : 🔴
Référence CIS : CIS Azure 14.3.1
MITRE ATT&CK : T1485

Description : Implémenter des tests automatisés réguliers des procédures de disaster recovery pour valider les RTO/RPO et identifier les problèmes.

Vérification :

  • Portal > Site Recovery > Recovery plans > Test failover history
  • Logs des tests de basculement dans Log Analytics
  • Métriques de performance des tests DR

Remédiation :

  1. Programmer des tests de basculement mensuels automatisés
  2. Créer des métriques pour mesurer RTO/RPO réels
  3. Documenter et corriger les écarts identifiés
# Programmer un test de basculement automatisé
$recoveryPlan = Get-AzRecoveryServicesAsrRecoveryPlan -Name "MyDRPlan"
Start-AzRecoveryServicesAsrTestFailoverJob -RecoveryPlan $recoveryPlan -Direction "PrimaryToRecovery" -NetworkId $testNetwork.Id

Valeur par défaut : Tests manuels ad-hoc

14.5.2 — Monitoring des métriques RTO/RPO

Niveau : 🟠
Référence CIS : CIS Azure 14.3.2
MITRE ATT&CK : T1485

Description : Surveiller en continu les métriques RTO (Recovery Time Objective) et RPO (Recovery Point Objective) pour s’assurer du respect des SLA de récupération.

Vérification :

  • Portal > Monitor > Metrics > Site Recovery metrics
  • Dashboards personnalisés pour RTO/RPO tracking
  • Alertes configurées sur les déviations

Remédiation :

  1. Créer des dashboards Azure Monitor pour RTO/RPO
  2. Configurer des alertes sur les dépassements d’objectifs
  3. Intégrer les métriques dans les rapports de gouvernance
# Créer une alerte sur les métriques RPO
$actionGroup = Get-AzActionGroup -ResourceGroupName "MyRG" -Name "DRAlerts"
Add-AzMetricAlertRuleV2 -Name "RPO-Exceeded" -ResourceGroupName "MyRG" -WindowSize "PT15M" -Frequency "PT5M" -TargetResourceId $vault.Id -MetricName "RPO" -Operator "GreaterThan" -Threshold 240 -ActionGroupId $actionGroup.Id

Valeur par défaut : Pas de monitoring automatisé

S15 — SENTINEL ET SOC

15.1.1 — Sentinel workbooks et dashboards

Niveau : 🟡
Référence CIS : CIS Azure 15.1
MITRE ATT&CK : T1562.001

Description : Des workbooks et dashboards Sentinel doivent être configurés pour monitoring proactif de la sécurité.

Vérification :

  • Portal > Sentinel > Workbooks
  • Templates disponibles et customization

Remédiation :

  1. Déployer workbooks Microsoft
  2. Customisation selon environnement
  3. Dashboards pour différents rôles

15.2.1 — Playbooks automatisation réponse incident

Niveau : 🟡
Référence CIS : CIS Azure 15.2
MITRE ATT&CK : T1562.001

Description : Des playbooks de réponse automatique doivent être configurés pour les incidents de sécurité courants.

Vérification :

  • Portal > Sentinel > Automation > Playbooks
  • Logic Apps integration

Remédiation :

  1. Développer playbooks pour cas d’usage communs
  2. Intégration avec analytics rules
  3. Test et amélioration continue

15.3 — AZURE SENTINEL SIEM AVANCÉ

15.3.1 — Data connectors configurés pour toutes les sources

Niveau : 🔴
Référence CIS : CIS Azure 15.1.1
MITRE ATT&CK : T1562.001

Description : Configurer tous les connecteurs de données Azure Sentinel nécessaires pour ingérer les logs de sécurité de l’ensemble de l’infrastructure Azure et hybride.

Vérification :

  • Portal > Sentinel > Data connectors > Status of connectors
  • CLI: az sentinel data-connector list –resource-group MyRG –workspace-name MyWorkspace
  • PowerShell: Get-AzSentinelDataConnector -ResourceGroupName “MyRG” -WorkspaceName “MyWorkspace”

Remédiation :

  1. Activer Azure Activity, Azure AD, Office 365 connectors
  2. Configurer les connecteurs pour Azure Security Center
  3. Ajouter les connecteurs tiers (AWS, GCP, Firewalls)
# Activer le connecteur Azure Activity
New-AzSentinelDataConnector -ResourceGroupName "MyRG" -WorkspaceName "MyWorkspace" -Kind "AzureActivity" -SubscriptionId $subscriptionId
# Activer Azure AD connector
New-AzSentinelDataConnector -ResourceGroupName "MyRG" -WorkspaceName "MyWorkspace" -Kind "AzureActiveDirectory" -TenantId $tenantId

Valeur par défaut : Connecteurs de base uniquement

15.3.2 — Analytics rules pour détection de menaces

Niveau : 🔴
Référence CIS : CIS Azure 15.1.2
MITRE ATT&CK : T1562.001

Description : Configurer et personnaliser les règles d’analytique Sentinel pour détecter les menaces spécifiques à l’environnement Azure.

Vérification :

  • Portal > Sentinel > Analytics > Active rules count
  • CLI: az sentinel alert-rule list –resource-group MyRG –workspace-name MyWorkspace
  • PowerShell: Get-AzSentinelAlertRule -ResourceGroupName “MyRG” -WorkspaceName “MyWorkspace”

Remédiation :

  1. Activer les règles prêtes à l’emploi Microsoft
  2. Créer des règles personnalisées basées sur KQL
  3. Ajuster les seuils et fréquences selon l’environnement
# Créer une règle d'analytics personnalisée
$rule = @{
    DisplayName = "Suspicious Azure AD Sign-ins"
    Description = "Détecte les connexions Azure AD suspectes"
    Query = "SigninLogs | where RiskLevelDuringSignIn == 'high' | where ResultType == 0"
    QueryFrequency = "PT5M"
    QueryPeriod = "PT6H"
    TriggerOperator = "GreaterThan"
    TriggerThreshold = 0
    Severity = "High"
}
New-AzSentinelAlertRule -ResourceGroupName "MyRG" -WorkspaceName "MyWorkspace" @rule

Valeur par défaut : Règles de base Microsoft

15.3.3 — Playbooks automatisés pour la réponse aux incidents

Niveau : 🟠
Référence CIS : CIS Azure 15.1.3
MITRE ATT&CK : T1059

Description : Développer des playbooks Logic Apps pour automatiser la réponse aux incidents de sécurité détectés par Sentinel.

Vérification :

  • Portal > Sentinel > Automation > Playbooks
  • CLI: az logic workflow list –resource-group MyRG
  • PowerShell: Get-AzLogicApp -ResourceGroupName “MyRG”

Remédiation :

  1. Créer des playbooks pour les cas d’usage courants
  2. Intégrer avec Azure AD pour disable des comptes compromis
  3. Configurer des notifications automatiques aux équipes
# Créer un playbook de désactivation automatique de compte
$workflow = @{
    Name = "DisableCompromisedUser"
    ResourceGroupName = "MyRG"
    Location = "France Central"
    Definition = $playbook_definition
}
New-AzLogicApp @workflow

Valeur par défaut : Réponse manuelle uniquement

15.4 — THREAT HUNTING AVANCÉ

15.4.1 — Hunting queries personnalisées développées

Niveau : 🟠
Référence CIS : CIS Azure 15.2.1
MITRE ATT&CK : T1057

Description : Développer et maintenir des requêtes de chasse aux menaces personnalisées basées sur les Tactics, Techniques, and Procedures (TTP) pertinents pour l’environnement.

Vérification :

  • Portal > Sentinel > Hunting > Custom hunting queries
  • Notebook Jupyter avec requêtes KQL avancées
  • Métriques d’utilisation des hunting queries

Remédiation :

  1. Développer des hunting queries pour chaque technique MITRE ATT&CK
  2. Créer des notebooks Jupyter pour l’analyse avancée
  3. Programmer des hunts automatisés avec Azure Automation
// Exemple de hunting query pour persistence via scheduled tasks
let timeframe = 7d;
SecurityEvent
| where TimeGenerated >= ago(timeframe)
| where EventID == 4698 // Scheduled task created
| where Process =~ "schtasks.exe"
| extend TaskName = extract(@'TaskName:\s*([^
]+)', 1, CommandLine)
| where TaskName !~ "Microsoft"
| summarize count() by Computer, Account, TaskName, CommandLine
| where count_ > 1

Valeur par défaut : Hunting queries Microsoft de base

15.4.2 — Threat intelligence feeds intégrés

Niveau : 🟠
Référence CIS : CIS Azure 15.2.2
MITRE ATT&CK : T1590

Description : Intégrer des flux de threat intelligence externes et internes dans Sentinel pour enrichir les détections et le contexte des incidents.

Vérification :

  • Portal > Sentinel > Threat intelligence > Indicators
  • API calls pour vérifier l’ingestion des IOCs
  • Métriques d’enrichissement des alertes

Remédiation :

  1. Configurer des connecteurs vers des fournisseurs TI (Microsoft TI, ThreatConnect)
  2. Développer des connecteurs personnalisés pour sources internes
  3. Créer des règles d’analytics utilisant les IOCs
# Importer des IOCs via PowerShell
$indicators = @(
    @{
        Pattern = "malicious-domain.com"
        PatternType = "domain-name"
        Source = "Internal Research"
        ThreatType = "malicious-activity"
        Confidence = 85
    }
)
Import-AzSentinelThreatIntelligence -ResourceGroupName "MyRG" -WorkspaceName "MyWorkspace" -Indicators $indicators

Valeur par défaut : Microsoft TI uniquement

15.5 — SOC OPERATIONS

15.5.1 — Incident response workflows standardisés

Niveau : 🔴
Référence CIS : CIS Azure 15.3.1
MITRE ATT&CK : T1059

Description : Établir des workflows d’incident response standardisés intégrés dans Sentinel pour assurer une réponse cohérente et efficace aux menaces.

Vérification :

  • Portal > Sentinel > Incidents > Response templates
  • Documentation des procédures d’incident response
  • Métriques de temps de réponse (MTTR)

Remédiation :

  1. Créer des templates d’incident par type de menace
  2. Définir des niveaux d’escalation automatiques
  3. Intégrer avec les systèmes de ticketing (ServiceNow, JIRA)
{
  "incident_template": {
    "severity": "High",
    "title": "Compromised Account Detected",
    "description": "Automated response for compromised user account",
    "tasks": [
      {
        "name": "Disable user account",
        "automation": "playbook:disable-user"
      },
      {
        "name": "Reset user credentials", 
        "automation": "manual"
      }
    ]
  }
}

Valeur par défaut : Incidents génériques

15.5.2 — Métriques SOC et dashboards de performance

Niveau : 🟠
Référence CIS : CIS Azure 15.3.2
MITRE ATT&CK : T1562.001

Description : Créer des dashboards et métriques pour surveiller la performance du SOC et l’efficacité des détections de sécurité.

Vérification :

  • Portal > Sentinel > Workbooks > SOC performance dashboards
  • Métriques MTTR, MTTD, taux de faux positifs
  • Rapports de performance mensuels automatisés

Remédiation :

  1. Créer des workbooks Sentinel pour les métriques SOC
  2. Configurer des alertes sur les SLA de réponse
  3. Automatiser la génération de rapports de performance
// Métriques de performance SOC
SecurityIncident
| where TimeGenerated >= ago(30d)
| summarize 
    TotalIncidents = count(),
    AvgTimeToClose = avg(datetime_diff('minute', ClosedTime, CreatedTime)),
    HighSeverityIncidents = countif(Severity == "High"),
    AutomatedResponse = countif(isnotempty(PlaybookRunId))
| extend 
    AutomationRate = AutomatedResponse * 100.0 / TotalIncidents,
    HighSeverityRate = HighSeverityIncidents * 100.0 / TotalIncidents

Valeur par défaut : Métriques de base uniquement

S16 — SÉCURITÉ API

16.1.1 — API Management avec authentification forte

Niveau : 🟠
Référence CIS : CIS Azure 16.1
MITRE ATT&CK : T1190

Description : Azure API Management doit être configuré avec authentification forte et politiques de sécurité pour toutes les APIs.

Vérification :

  • Portal > API Management > APIs > Security
  • Policies de validation et authentification

Remédiation :

  1. OAuth 2.0 ou certificats client
  2. Rate limiting et throttling
  3. Validation input/output

16.2.1 — WAF protection pour APIs publiques

Niveau : 🟠
Référence CIS : CIS Azure 16.2
MITRE ATT&CK : T1190

Description : Web Application Firewall doit protéger les APIs publiques contre les attaques communes OWASP.

Vérification :

  • Portal > Application Gateway > Web application firewall
  • Frontend avec WAF rules

Remédiation :

  1. Déployer WAF devant APIs
  2. OWASP Core Rule Set
  3. Custom rules selon besoins

16.3 — AZURE API MANAGEMENT SECURITY

16.3.1 — API Management avec WAF et rate limiting

Niveau : 🔴
Référence CIS : CIS Azure 16.1.1
MITRE ATT&CK : T1499.004

Description : Configurer Azure API Management avec Web Application Firewall et limitations de débit pour protéger les APIs contre les attaques par déni de service et injection.

Vérification :

  • Portal > API Management > Security > WAF policies
  • Portal > API Management > APIs > Rate limiting policies
  • CLI: az apim api policy show –service-name MyAPIService –resource-group MyRG –api-id MyAPI

Remédiation :

  1. Déployer APIM derrière Application Gateway avec WAF
  2. Configurer des politiques de rate limiting granulaires
  3. Implémenter l’authentification OAuth 2.0/JWT
<!-- Exemple de politique APIM avec rate limiting -->
<policies>
    <inbound>
        <rate-limit calls="100" renewal-period="60" />
        <quota calls="1000" renewal-period="3600" />
        <validate-jwt header-name="Authorization" failed-validation-httpcode="401">
            <openid-config url="https://login.microsoftonline.com/{tenant}/.well-known/openid_configuration" />
        </validate-jwt>
    </inbound>
</policies>

Valeur par défaut : Pas de protection APIM

16.3.2 — Authentication et authorization robustes

Niveau : 🔴
Référence CIS : CIS Azure 16.1.2
MITRE ATT&CK : T1078.004

Description : Implémenter une authentification et autorisation robustes pour toutes les APIs avec OAuth 2.0, JWT, et scopes appropriés.

Vérification :

  • Portal > App registrations > API permissions
  • Portal > API Management > Security > OAuth 2.0
  • Tests d’authentification avec différents tokens

Remédiation :

  1. Configurer Azure AD comme serveur d’autorisation
  2. Implémenter des scopes OAuth granulaires
  3. Valider les JWT tokens dans APIM
# Créer un app registration pour l'API
$app = New-AzADApplication -DisplayName "MySecureAPI" -ReplyUrls @("https://api.mycompany.com/oauth/callback")
New-AzADServicePrincipal -ApplicationId $app.ApplicationId
# Configurer les scopes OAuth appropriés

Valeur par défaut : Authentification basique ou API keys

16.3.3 — API monitoring et anomaly detection

Niveau : 🟠
Référence CIS : CIS Azure 16.1.3
MITRE ATT&CK : T1190

Description : Configurer la surveillance avancée des APIs avec détection d’anomalies pour identifier les patterns d’attaque et comportements suspects.

Vérification :

  • Portal > API Management > Monitoring > Analytics
  • Portal > Application Insights > API performance metrics
  • Alertes configurées sur les anomalies d’utilisation

Remédiation :

  1. Intégrer APIM avec Application Insights
  2. Configurer des alertes sur les patterns d’attaque
  3. Implémenter la détection d’anomalies ML
# Configurer Application Insights pour APIM
$appInsights = New-AzApplicationInsights -ResourceGroupName "MyRG" -Name "APIM-Insights" -Location "France Central"
# Lier APIM à Application Insights
Set-AzApiManagementLogger -Context $apimContext -LoggerId "appinsights" -Name "Application Insights Logger"

Valeur par défaut : Logs de base uniquement

16.4 — API GATEWAY SECURITY

16.4.1 — Private endpoints pour APIs internes

Niveau : 🔴
Référence CIS : CIS Azure 16.2.1
MITRE ATT&CK : T1071.001

Description : Configurer des private endpoints pour les APIs internes afin d’éliminer l’exposition Internet public et sécuriser la communication interne.

Vérification :

  • Portal > API Management > Network > Virtual network
  • CLI: az network private-endpoint list –resource-group MyRG
  • Test de connectivité depuis les réseaux internes uniquement

Remédiation :

  1. Déployer APIM en mode internal dans un VNet
  2. Créer des private endpoints pour l’accès interne
  3. Configurer des NSGs appropriées
# Configurer APIM en mode internal
$vnet = Get-AzVirtualNetwork -Name "MyVNet" -ResourceGroupName "MyRG"
$subnet = Get-AzVirtualNetworkSubnetConfig -Name "APIMSubnet" -VirtualNetwork $vnet
Set-AzApiManagement -ResourceGroupName "MyRG" -Name "MyAPIM" -VirtualNetwork $subnet -VpnType "Internal"

Valeur par défaut : APIM external/public

16.4.2 — Certificate pinning et mTLS

Niveau : 🟠
Référence CIS : CIS Azure 16.2.2
MITRE ATT&CK : T1040

Description : Implémenter le certificate pinning et mutual TLS (mTLS) pour sécuriser les communications entre les clients API et les backends.

Vérification :

  • Portal > API Management > Security > Client certificates
  • Vérification des certificats clients configurés
  • Tests de connexion mTLS

Remédiation :

  1. Configurer l’authentification par certificat client
  2. Implémenter le certificate pinning côté client
  3. Valider les certificats dans les politiques APIM
<!-- Politique APIM pour validation de certificat client -->
<policies>
    <inbound>
        <choose>
            <when condition="@(context.Request.Certificate == null || !context.Request.Certificate.Verify())">
                <return-response>
                    <set-status code="403" reason="Invalid client certificate" />
                </return-response>
            </when>
        </choose>
    </inbound>
</policies>

Valeur par défaut : TLS simple sans validation client

16.5 — OWASP API SECURITY

16.5.1 — Protection contre OWASP API Top 10

Niveau : 🔴
Référence CIS : CIS Azure 16.3.1
MITRE ATT&CK : T1190

Description : Implémenter des protections contre les 10 risques de sécurité API les plus critiques selon OWASP API Security Top 10.

Vérification :

  • Tests de sécurité automatisés pour OWASP API Top 10
  • Review des politiques APIM pour chaque risque
  • Scans de vulnérabilités API réguliers

Remédiation :

  1. Configurer des politiques APIM pour chaque risque OWASP
  2. Implémenter la validation de schéma JSON/XML
  3. Configurer le logging et monitoring appropriés
<!-- Protection contre injection et data exposure -->
<policies>
    <inbound>
        <validate-content unspecified-content-type-action="prevent" max-size="102400" size-exceeded-action="prevent" errors-variable-name="requestBodyValidation">
            <content type="application/json" validate-as="json" action="prevent" />
        </validate-content>
        <set-header name="X-Content-Type-Options" exists-action="override">
            <value>nosniff</value>
        </set-header>
    </inbound>
    <outbound>
        <set-header name="X-Frame-Options" exists-action="override">
            <value>DENY</value>
        </set-header>
    </outbound>
</policies>

Valeur par défaut : Protections de base uniquement

16.5.2 — API versioning et deprecation sécurisée

Niveau : 🟠
Référence CIS : CIS Azure 16.3.2
MITRE ATT&CK : T1190

Description : Gérer le versioning des APIs et la dépréciation sécurisée des anciennes versions pour éviter l’exposition de vulnérabilités dans les versions obsolètes.

Vérification :

  • Portal > API Management > APIs > Version management
  • Inventory des versions API actives
  • Politiques de dépréciation documentées

Remédiation :

  1. Implémenter un strategy de versioning cohérent
  2. Définir des timelines de dépréciation claires
  3. Migrer proactivement les clients vers les nouvelles versions
# Créer une nouvelle version d'API
New-AzApiManagementApiVersionSet -Context $apimContext -Id "myapi-versions" -Name "MyAPI Versions" -Scheme "Path" -PathValue "v{version}"
New-AzApiManagementApi -Context $apimContext -ApiId "myapi-v2" -Name "MyAPI v2.0" -ServiceUrl "https://backend.api.com/v2" -Path "api/v2" -ApiVersionSetId "myapi-versions" -ApiVersion "2.0"

Valeur par défaut : Pas de gestion de versions formelle

S17 — RÉPONSE AUX INCIDENTS

17.1.1 — Plan de réponse incidents documenté

Niveau : 🟡
Référence CIS : CIS Azure 17.1
MITRE ATT&CK : T1562.001

Description : Un plan de réponse aux incidents de sécurité doit être documenté avec procédures claires et contacts d’escalade.

Vérification :

  • Documentation disponible et à jour
  • Formation équipes sur procédures

Remédiation :

  1. Rédaction plan de réponse
  2. Définition des rôles et responsabilités
  3. Exercices de simulation réguliers

17.2.1 — Forensic capabilities et preservation

Niveau : 🟡
Référence CIS : CIS Azure 17.2
MITRE ATT&CK : T1562.001

Description : Des capacités de forensic numérique doivent être disponibles avec procédures de préservation des preuves.

Vérification :

  • Outils et procédures forensic
  • Chain of custody documentation

Remédiation :

  1. Outils forensic cloud (Azure tools)
  2. Procédures preservation logs
  3. Formation équipes techniques

S18 — CONFORMITÉ RÉGLEMENTAIRE

18.1.1 — Compliance frameworks mapping

Niveau : 🟡
Référence CIS : CIS Azure 18.1
MITRE ATT&CK : T1562

Description : Les contrôles de sécurité doivent être mappés aux frameworks de conformité applicables (RGPD, NIS2, ISO27001, etc.).

Vérification :

  • Documentation mapping controls
  • Compliance dashboard et reporting

Remédiation :

  1. Identification réglementations applicables
  2. Mapping des contrôles
  3. Reporting conformité régulier

18.2.1 — Audit trail pour compliance

Niveau : 🟡
Référence CIS : CIS Azure 18.2
MITRE ATT&CK : T1562.001

Description : Un audit trail complet doit être maintenu pour répondre aux exigences de conformité réglementaire.

Vérification :

  • Logs avec timestamps et intégrité
  • Rétention selon exigences légales

Remédiation :

  1. Centralisation logs dans SIEM
  2. Protection intégrité (signatures)
  3. Rétention selon réglementations

RÉCAPITULATIFS SECTIONS S6-S18

Section Total contrôles 🔴 Critique 🟠 Élevé 🟡 Moyen 🟢 Faible
S6 - Réseau 15 3 8 4 0
S7 - VMs 12 2 6 4 0
S8 - Key Vault 8 2 4 2 0
S9 - App Service 8 2 4 2 0
S10 - AKS 8 2 4 2 0
S11 - Governance 8 0 4 4 0
S12 - Secrets 6 0 3 3 0
S13 - Containers 6 0 4 2 0
S14 - Backup 6 0 3 3 0
S15 - Sentinel 6 0 2 4 0
S16 - API Security 6 0 4 2 0
S17 - Incident Response 6 0 2 4 0
S18 - Compliance 6 0 2 4 0

RÉCAPITULATIF GLOBAL

SYNTHÈSE PAR CRITICITÉ

Niveau Criticité Nombre de contrôles Pourcentage Action requise
🔴 Critique 28 10.0% Correction immédiate
🟠 Élevé 118 42.1% Correction sous 30 jours
🟡 Moyen 124 44.3% Correction sous 90 jours
🟢 Faible 10 3.6% Selon planification
TOTAL 280 100%

SYNTHÈSE PAR SECTION

Section Contrôles Score /100 Statut Priorité
S1 - IAM 23 ___% 🔴🟠🟡🟢 Critique
S2 - Defender for Cloud 16 ___% 🔴🟠🟡🟢 Critique
S3 - Storage 16 ___% 🔴🟠🟡🟢 Élevé
S4 - Databases 18 ___% ��🟠🟡🟢 Élevé
S5 - Logging 19 ___% 🔴🟠🟡🟢 Élevé
S6 - Network 15 ___% 🔴🟠🟡🟢 Élevé
S7 - VMs 12 ___% 🔴🟠🟡🟢 Moyen
S8 - Key Vault 8 ___% 🔴🟠🟡🟢 Élevé
S9 - App Service 8 ___% 🔴🟠🟡🟢 Moyen
S10 - AKS 8 ___% 🔴🟠🟡🟢 Moyen
S11 - Governance 8 ___% 🔴🟠🟡🟢 Moyen
S12 - Secrets 6 ___% 🔴🟠🟡🟢 Moyen
S13 - Containers 6 ___% 🔴🟠🟡🟢 Moyen
S14 - Backup 6 ___% 🔴🟠🟡🟢 Moyen
S15 - Sentinel 6 ___% 🔴🟠🟡🟢 Moyen
S16 - API Security 6 ___% 🔴🟠🟡🟢 Moyen
S17 - Incident Response 6 ___% 🔴🟠🟡🟢 Faible
S18 - Compliance 6 ___% 🔴🟠🟡🟢 Faible

RÉSUMÉ EXÉCUTIF

NIVEAU DE MATURITÉ SÉCURITÉ AZURE

Score global : /280 (%)

Niveau Seuil Statut Description
🔴 Initial < 40% Sécurité de base non maîtrisée
🟠 Reproductible 40-60% Processus sécurité partiels
🟡 Défini 60-80% Bonnes pratiques largement appliquées
🟢 Optimisé > 80% Excellence en sécurité cloud

TOP 3 DES RISQUES IDENTIFIÉS

1. 🔴 RISQUE CRITIQUE - [À compléter]

Impact : Très élevé | Probabilité : Élevée Description : [Synthèse des vulnérabilités critiques identifiées] Recommandation : Correction immédiate prioritaire

2. 🟠 RISQUE ÉLEVÉ - [À compléter]

Impact : Élevé | Probabilité : Moyenne Description : [Synthèse des vulnérabilités importantes] Recommandation : Plan de remédiation 30 jours

3. 🟡 RISQUE MOYEN - [À compléter]

Impact : Moyen | Probabilité : Élevée
Description : [Synthèse des améliorations nécessaires] Recommandation : Intégration roadmap sécurité

FEUILLE DE ROUTE RECOMMANDÉE

Phase 1 (0-30 jours) - Sécurisation d’urgence

  • Correction des 28 contrôles critiques 🔴
  • Activation MFA sur tous comptes privilégiés
  • Activation Defender for Cloud
  • Configuration Activity Log centralisé
  • Mise en place break-glass accounts

Phase 2 (30-90 jours) - Renforcement sécurité

  • Correction des 118 contrôles élevés 🟠
  • Implémentation Conditional Access
  • Configuration PIM (Privileged Identity Management)
  • Déploiement Azure Sentinel ou SIEM
  • Chiffrement avancé des données sensibles

Phase 3 (90-180 jours) - Optimisation et gouvernance

  • Correction des 124 contrôles moyens 🟡
  • Azure Policy et gouvernance avancée
  • Automatisation réponse aux incidents
  • Formation équipes sécurité
  • Audit et certification compliance

MAPPING MULTI-FRAMEWORKS

CORRESPONDANCES NIST 800-53 Rev5

Famille NIST Contrôles Azure concernés Description
AC (Access Control) S1.1-S1.9 (IAM complet) Contrôle d’accès et authentification
AU (Audit) S5.1-S5.7 (Logging) Audit et responsabilité
CA (Assessment) S2.1-S2.6 (Defender) Évaluation et autorisation
CM (Configuration) S11.1-S11.2 (Governance) Gestion de configuration
CP (Contingency) S14.1-S14.2 (Backup/DR) Planification d’urgence
IA (Identification) S1.1-S1.3 (MFA/CA) Identification et authentification
IR (Incident Response) S17.1-S17.2 Réponse aux incidents
PE (Physical) N/A (Cloud natif) Protection physique
PL (Planning) S18.1-S18.2 (Compliance) Planification sécurité
PS (Personnel) S1.6 (Guest users) Sécurité du personnel
RA (Risk Assessment) S2.2 (CSPM) Évaluation des risques
SA (System Acquisition) S11.1 (Policy) Acquisition systèmes
SC (System Communications) S6.1-S6.3, S3.3 (Réseau) Protection communications
SI (System Information) S3.1, S4.1 (Chiffrement) Intégrité systèmes

CORRESPONDANCES ISO 27001:2022

Annexe A Contrôles Azure concernés Domaine
A.5 - Politiques sécurité S11.1 (Azure Policy) Gouvernance
A.6 - Organisation sécurité S1.7 (Break-glass), S17.1 (IRP) Organisation
A.7 - Sécurité RH S1.6 (Guest users) Ressources humaines
A.8 - Gestion actifs S2.6 (Asset inventory) Gestion des actifs
A.9 - Contrôle accès S1.1-S1.9 (IAM complet) Contrôle d’accès
A.10 - Cryptographie S3.1, S4.1, S12.1 (Chiffrement) Cryptographie
A.11 - Sécurité physique N/A (Responsabilité Microsoft) Physique
A.12 - Sécurité exploitation S7.1-S7.2, S9.1-S9.2 Exploitation
A.13 - Sécurité communications S6.1-S6.3 (Réseau) Communications
A.14 - Acquisition systèmes S13.1 (Container scanning) Développement
A.15 - Relations fournisseurs N/A (SaaS/PaaS) Fournisseurs
A.16 - Gestion incidents S17.1-S17.2 (Incident Response) Gestion incidents
A.17 - Continuité activité S14.1-S14.2 (Backup/DR) Continuité
A.18 - Conformité S18.1-S18.2 (Compliance) Conformité

© 2026 AYI NEDJIMI CONSULTANTS
Document confidentiel - Distribution restreinte
Version 1.0 - Avril 2026

Ce document contient des informations confidentielles et propriétaires d’AYI NEDJIMI CONSULTANTS. Toute reproduction ou distribution non autorisée est strictement interdite.

FIN DU DOCUMENT CHECKLIST AZURE FOUNDATIONS v1.0

📋 Autres checklists

🏢
Active Directory
106 contrôles
 🌐
Chrome Enterprise
243 contrôles
 🛡️
Microsoft Defender
223 contrôles
 📧
Google Workspace
41 contrôles

Toutes nos checklists sécurité

Retrouvez l'ensemble de nos 11 checklists d'audit et de durcissement professionnelles.

Voir toutes les checklists