Expert Cybersécurité & IAv9.0
Logo Ayi NEDJIMI Consultants
Besoin d'un accompagnement expert ?
Devis personnalisé sous 24h — audit, conformité, incident
À la une
Air Gap OT/ICS : Mythes et Réalités 2026
Isolation réseau industriel, contournements réels, stratégies défensives
Benchmark LLM Mars 2026 — État des lieux
GPT-4o, Claude 3.7, Gemini 2.0 : comparatif sécurité & performance
 Voir tous les articles →
Tous les articles

Techniques de Hacking

31 articles
ETW Tampering : Évasion et Détection sur Windows en 2026 TPM et BitLocker : Cold Boot et Bypass Chiffrement Covert Channels Réseau : Stéganographie et Exfiltration Avancée Type Confusion V8 : Exploitation Avancée Navigateurs eBPF Offensif : Rootkits, Évasion et Détection Kernel-Level DMA Attacks : Exploitation Thunderbolt, PCIe et FireWire 2026 Type Confusion V8 : Exploitation Avancée Navigateurs Vol de Mots de Passe Chrome : DPAPI, Exploits et Outils Extraction Credentials Firefox : NSS, Key4.db et Exploits Hacking Password Managers Navigateurs : Attaques Expert EvilGinx : Phishing AiTM, Bypass MFA et Défense 2026 Persistance Windows Server 2025 : Techniques Complètes Escalade de Privilèges Windows 2025 : Scénarios Réels Buffer Overflow et Corruption Mémoire : Stack, Heap et Escalade de Privilèges Linux : Techniques Offensives et Escalade de Privilèges Windows : Du User au SYSTEM Hacking WordPress Expert : Red Team, Supply Chain et Hacking WordPress : Fondamentaux, Vulnérabilités : Guide Hacking WordPress Intermédiaire : Exploitation Avancée Infostealers : La Menace Silencieuse qui Alimente le Injection SQL Avancée : De la Détection à l'Exploitation MITRE ATT&CK : Les 10 Techniques les Plus Utilisées en OSINT et Reconnaissance Offensive : Du Renseignement Password Attacks : Cracking, Spraying et Credential Stuffing Ransomware : Anatomie d'une Attaque, Kill Chain et Reverse Engineering et Analyse de Malware : Guide Pratique Red Team vs Pentest vs Bug Bounty : Comparatif Complet Bug Bounty : Créer et Gérer un Programme de Sécurité Zero Trust Architecture : Implémentation Complète et Mouvement Latéral : Techniques d'Attaque, Détection et Attack Surface Management (ASM) : Gestion Continue de la

Attaques Active Directory

43 articles
Mouvement Latéral Windows AD 2026 : Techniques Expert Impacket : Guide complet exploitation Active Directory 2026 Pentest Active Directory : Guide Méthodologique Complet 2026 BloodHound : Cartographie des Chemins d'Attaque Active NTDS.dit : Extraction, Analyse et Protection des Secrets LAPS : Gestion Sécurisée des Mots de Passe : Guide Complet Tiering Model Active Directory : Segmentation des : Guide GPO Sécurisation Active Directory : Hardening par : Guide Forum InCyber 2026 : Securite AD en Vedette : Guide Complet Conditional Access Entra ID : Nouveautes Mars 2026 ADCS 2026 : Bilan ESC1 a ESC15 et Remediation en 2026 BloodHound 5 : Nouveaux Chemins d'Attaque Detectes Audit AD Automatise PowerShell : Scripts 2026 en 2026 NTLM Relay 2026 : Techniques et Defenses Actuelles Tiering Model AD 2026 : Adapter Face aux Menaces en 2026 Passwordless AD : Bilan des Risques et Opportunites Entra ID : Fin des Service Principals Legacy : Guide Complet BadSuccessor DMSA : Compromettre Active Directory en 2026 AD FS et SAML : Methodologie et Recommandations de Securite RBCD Abuse Active Directory | Active Directory 2026 Computer Account Takeover Active : Analyse Technique Active Directory Certificate Services : Guide Complet Forest Trust Abuse Active | Defence Active Directory ACL Abuse Active Directory | Active Directory 2026 AS-REP Roasting : Exploitation : Analyse Technique Kerberoasting : Guide Complet | Active Directory 2026 Password Filter DLL : Guide Pratique Cybersecurite Pass-the-Hash (PtH) : Comprendre, : Analyse Technique AdminSDHolder : Persistance via : Analyse Technique Pass-the-Ticket Active Directory : : Guide Complet NTFS Tampering et Anti-Forensics : Analyse Technique GPO Abuse Active Directory | Active Directory 2026 SIDHistory Injection Active Directory : Guide Complet Skeleton Key Malware Active | Active Directory 2026 Silver Ticket Active Directory : Analyse Technique DCSync Attack : Exfiltration | Active Directory 2026 DCShadow : Attaque Furtive | Active Directory 2026 Golden Ticket Attack : Guide Pratique Cybersecurite Migration MFA Entra : Revoquer les Sessions Legacy Attaques AD 2025 : Bilan et Tendances Emergentes en 2026 Entra Connect SyncJacking : Bloquer l'Attaque en 2026 CVE-2025-21293 : Escalade de Privileges AD DS en 2026 Durcissement AD : Guide des Recommandations Microsoft

Intelligence Artificielle

166 articles
Qdrant vs Milvus vs Weaviate : Bases Vectorielles pour RAG Sécurisé Jailbreak LLM : Taxonomie et Détection Automatisée Sécuriser un Pipeline RAG : Du Vector Store à l'API Exfiltration de Données via RAG : Attaques Contextuelles AI Red Team : Auditer un Modèle IA en Production 2026 Prompt Injection Avancée : Attaques et Défenses 2026 La Puce Analogique que les États-Unis ne Peuvent Arrêter Contenu IA : Outils de Detection Proactive Multimodale Prompt Injection et Attaques Multimodales : Défenses en 2026 Stocker et Interroger des Embeddings à Grande Échelle Benchmark LLM Mars 2026 : Etat des Lieux Complet en 2026 Claude Opus 4.6 : Applications en Cybersecurite en 2026 AI Worms et Propagation Autonome : Menaces Émergentes 2026 Confidential Computing et IA : Entraîner et Inférer dans IA Générative pour le Pentest Automatisé : Méthodes et IA et Gestion des Vulnérabilités : Priorisation EPSS Long Context vs RAG : Quand Utiliser 10M Tokens au Lieu Mixture of Experts (MoE) : Architecture, Sécurité et AI Model Supply Chain : Attaques sur Hugging Face et les IA et SCADA/ICS : Détection d'Anomalies sur les Protocoles Sparse Autoencoders et Interprétabilité Mécanistique IA et Zero Trust : Micro-Segmentation Dynamique Pilotée par Red Teaming IA 2026 : Tester les LLM en Entreprise MCP Model Context Protocol : Securiser les Agents en 2026 AI Act 2026 : Implications pour les Systèmes Agentiques et Context Engineering pour Agents Multimodaux : Guide Complet Défense contre les Attaques IA Générées : Stratégies Détection Proactive de Contenu Généré par IA Multimodal Embodied AI : Agents Physiques, Robotique et Sécurité en Forensic Post-Hacking : Reconstruction et IA : Guide Complet Gouvernance Globale de l'IA 2026 : Alignement International Gouvernance du Hacking IA Offensive : Cadre et Bonnes Pra... Green Computing IA 2026 : Eco-Responsabilite et Sobriete Hacking Assisté par IA : Génération de Payloads et Human-AI Collaboration 2026 : Travailler avec des Agents Intégration d'Agents IA avec les API Externes en 2026 LLMOps pour Agents Autonomes : Monitoring et CI/CD Mémoire Augmentée Agents : Vector + Graph 2026 en 2026 Détection Multimodale d’Anomalies Réseau par IA en Multimodal RAG 2026 : Texte, Image, Audio : Guide Complet PLAM : Agents IA Personnalisés Edge et Déploiement Prompt Hacking Avancé 2026 : Techniques et Défenses Prompt Injection et Attaques Multimodales : Défenses en Red Teaming Cyber-Défense Agentique : Méthodologie Responsible Agentic AI : Contrôles, Garde-Fous et 2026 Agents RAG avec Actions : Récupération et Exécution Sécurité des Agents IA en Production : Sandboxing et Shadow Agents IA : Identification et Gouvernance 2026 Traçabilité des Décisions d'Agents Autonomes : Guide Agentic AI 2026 : Autonomie en Entreprise : Guide Complet Agents IA et Raisonnement Causal pour la Décision 2026 Agents IA Edge 2026 : Privacy, Latence et Architecture PLAM Architectures Multi-Agents et Orchestration LLM en Produc... Collaboration Multi-Agents IA 2026 : Orchestration et RAG Agentique : Pipelines IA Autonomes en Entreprise IA et Analyse Juridique des Contrats Cybersécurité Apprentissage Fédéré et Privacy-Preserving ML en 2026 IA pour la Défense et le Renseignement : Cadre Éthique Données Synthétiques : Génération, Validation et 2026 DSPy et la Programmation Déclarative de LLM : Guide IA dans la Finance : Détection de Fraude Temps Réel et Gouvernance LLM et Conformite : RGPD et AI Act 2026 Playbooks de Réponse aux Incidents IA : Modèles et IA Neuromorphique : Architecture et Securite en 2026 Pydantic AI et les Frameworks d'Agents Type-Safe en 2026 Quantum Machine Learning : Risques et Opportunités pour la RAG en Production : Architecture, Scaling et Bonnes Reinforcement Learning Appliqué à la Cybersécurité AI Safety et Alignement : Du RLHF au Constitutional AI en IA dans la Santé : Sécuriser les Modèles Diagnostiques et Sécurité LLM Adversarial : Attaques, Défenses et Bonnes Speculative Decoding et Inférence Accélérée : Techniques Voice Cloning et Audio Deepfakes : Detection en 2026 IA Agentique 2026 : Risques et Gouvernance : Guide Complet Agents IA Autonomes : Architecture, Frameworks et Cas Automatiser le DevOps avec des Agents IA : Guide Complet Agents IA pour le SOC : Triage Automatisé des Alertes AI Act et LLM : Classifier vos Systèmes IA : Guide Complet AI TRiSM : Framework Gartner Appliqué : Guide Complet IA pour l’Analyse de Logs et Détection d’Anomalies en IA et Automatisation RH : Screening CV et Compliance Chatbot Entreprise avec RAG et LangChain : Guide Pas à Pas Llama 4, Mistral Large, Gemma 3 : Comparatif LLM Open Source Computer Vision en Cybersécurité : Détection et 2026 Confidentialité des Données dans les LLM : PII et DLP IA et Conformité RGPD : Données Personnelles dans les Context Window : Gérer 1 Million de Tokens en Production Coût d'Inférence des LLM : Optimiser sa Facture Cloud CrewAI, AutoGen, LangGraph : Comparatif Frameworks Data Platform IA-Ready : Architecture de Référence 2026 Data Poisoning et Model Backdoors : Supply Chain IA Deepfakes et Social Engineering IA : Détection et 2026 Deployer des LLM en Production : GPU et Optimisation Détection de Menaces par IA : SIEM Augmenté : Guide IA pour le DFIR : Accélérer les Investigations Forensiques Évaluation de LLM : Métriques, Benchmarks et Frameworks Fine-Tuning de LLM Open Source : Guide Complet LoRA et QLoRA Function Calling et Tool Use : Intégrer les API aux LLM Fuzzing Assisté par IA : Découverte de Vulnérabilités IA pour la Génération de Code : Copilot, Cursor, Claude Gouvernance IA en Entreprise : Politiques et Audit GraphRAG et Knowledge Graphs : Architecture RAG Avancée Knowledge Management avec l’IA en Entreprise : Stratégies Kubernetes pour l’IA : GPU Scheduling, Serving et 2026 LLM en Local : Ollama, LM Studio et vLLM - Comparatif 2026 LLM On-Premise vs Cloud : Souveraineté et Performance MCP (Model Context Protocol) : Connecter les LLM à vos MLOps Open Source : MLflow, Kubeflow, ZenML : Guide Complet IA Multimodale : Texte, Image et Audio : Guide Complet IA Offensive : Comment les Attaquants Utilisent les LLM Orchestration d'Agents IA : Patterns et Anti-Patterns OWASP Top 10 pour les LLM : Guide Remédiation 2026 Phishing Généré par IA : Nouvelles Menaces : Guide Prompt Engineering Avancé : Chain-of-Thought et Techniques Quantization : GPTQ, GGUF, AWQ - Quel Format Choisir RAG vs Fine-Tuning vs Prompt Engineering : Quelle Stratégie Reconnaissance Vocale et LLM : Assistant Vocal Sécurisé Red Teaming de Modèles IA : Jailbreak et Prompt Injection ROI de l'IA Générative : Mesurer l'Impact Réel en 2026 Sécuriser un Pipeline MLOps : Bonnes Pratiques et 2026 Shadow AI : Détecter et Encadrer l'Usage Non Autorisé Small Language Models : Phi-4, Gemma et IA Embarquée Threat Intelligence Augmentée par IA : Guide Complet Vector Database en Production : Scaling et HA en 2026 CNIL Autorite AI Act : Premiers Pas Reglementaires KVortex : Offloader VRAM→RAM pour LLMs vLLM et Inférence Securiser un Pipeline RAG en Production (2026) en 2026 Codex GPT-5.2 : Generation de Code Autonome Securisee Mixture of Experts : Architecture LLM de 2026 en 2026 GPT-5.2 et Agents IA : Revolution en Cybersecurite Windows Recall : Analyse Technique Complete - Fonctionnem... L'IA dans Windows 11 : Copilot, NPU et Recall - Guide Com... Deepfake-as-a-Service : La Fraude IA Industrialisee Small Language Models : Securite a la Peripherie en 2026 RAG Poisoning : Manipuler l'IA via ses Documents en 2026 Phishing IA : Quand les Defenses Traditionnelles Echouent Superintelligence : De l'ANI à l'ASI : Guide Complet La Fin des Moteurs de Recherche : Analyse Expert 2026 Embeddings et Recherche Documentaire : Guide Complet Stratégies de Découpage de | Guide IA Complet 2026 Sécurité et Confidentialité des : Analyse Technique Vecteurs en Intelligence Artificielle : Guide Complet Embeddings vs Tokens : Guide Pratique Cybersecurite Qu'est-ce qu'un Embedding en | Guide IA Complet 2026 Cas d'Usage des Bases - Guide Pratique Cybersecurite Bases Vectorielles : Définition, : Analyse Technique La Vectorisation de Données | Guide IA Complet 2026 Tendances Futures des Embeddings : Analyse Technique Optimiser le Chunking de - Guide Pratique Cybersecurite Milvus, Qdrant, Weaviate : | Guide IA Complet 2026 Glossaire IA et Cybersécurité : 100 Termes Essentiels 2026 10 Erreurs Courantes dans - Guide Pratique Cybersecurite Benchmarks de Performance : | Guide IA Complet 2026 RAG Architecture | Guide - Guide Pratique Cybersecurite Comment Choisir sa Base - Guide Pratique Cybersecurite Indexation Vectorielle : Techniques : Guide Complet Comprendre la Similarité Cosinus : Analyse Technique Comet Browser : Architecture | Guide IA Complet 2026 Développement Intelligence Artificielle | : Guide Complet Stocker et Interroger des - Guide Pratique Cybersecurite Shadow AI en Entreprise : Detecter et Encadrer en 2026 GPT-5.1 vs Claude 4.5 vs Gemini 3 : Comparatif en 2026 OpenClaw : Crise de l'Agent IA Open Source : Guide Complet Prompt Injection : 73% des Deploiements Vulnerables AI Act Aout 2025 : Premieres Sanctions Activees en 2026 OWASP Top 10 LLM 2025 : Risques et Remediations en 2026

Forensics

31 articles
Forensique Mémoire : Guide Pratique Volatility 3 en 2026 Timeline Forensique : Reconstituer Pas à Pas une : Guide Forensique Cloud : Analyser les Logs CloudTrail, Azure Forensique Microsoft 365 : Analyse du Unified Audit Log Chaîne de Preuve Numérique : Bonnes Pratiques Juridiques Exercice de Crise Cyber : Organiser un Tabletop Efficace Forensique Disque : Acquisition d'Image et Analyse avec Mobile Forensics : Extraction et Analyse iOS/Android Ransomware Forensics : Identifier la Souche : Guide Complet Forensics Linux : Artifacts et Investigation : Guide Complet MacOS Forensics : Artifacts et Persistence : Guide Complet Malware Reverse : Analyse de Cobalt Strike 5 : Guide Complet Email Forensics : Tracer les Campagnes Phishing en 2026 Timeline Analysis : Reconstruction d'Incidents en 2026 Registry Advanced : Guide Expert Analyse Technique NTFS Forensics : Methodologie et Recommandations de Securite LNK & Jump Lists : Strategies de Detection et de Remediation Windows Forensics : Guide Expert en Analyse Securite Registry Forensics : Guide Expert Analyse Securite Windows Server 2025 - Guide Pratique Cybersecurite Memory Forensics : Strategies de Detection et de Remediation ETW & WPR : Guide Complet et Bonnes Pratiques pour Experts Modèles de Rapports - Guide Pratique Cybersecurite Comparatif Outils DFIR - Guide Pratique Cybersecurite AmCache & ShimCache - Guide Pratique Cybersecurite Telemetry Forensics - Guide Pratique Cybersecurite Anti-Forensics : Methodologie et Recommandations de Securite NTFS Advanced : Methodologie et Recommandations de Securite Network Forensics : Analyse PCAP Avancee : Guide Complet DFIR Cloud : Investigation Logs AWS CloudTrail en 2026 Memory Forensics 2026 : Volatility 3 Avance : Guide Complet

Microsoft 365

24 articles
Chronologie des Attaques Active Directory : 2014-2026 Audit Avancé Microsoft 365 : Corréler Journaux et Logs Azure Automatiser l'Audit Sécurité Microsoft 365 : Guide Expert API Microsoft Graph : Audit et Monitoring M365 en 2026 Meilleures Pratiques Sécurité Microsoft 365 en 2026 PIM Entra ID : Gestion des Accès Privilégiés Just-in-Time Sécuriser Microsoft Teams : Gouvernance, DLP et Contrôle SharePoint et OneDrive : Maîtriser le Partage Externe et Microsoft Defender for Office 365 : Configuration : Guide Microsoft Secure Score : Guide d'Optimisation de votre Sécuriser Microsoft Entra ID : Conditional Access, MFA Durcissement Exchange Online : Bloquer Basic Auth et Microsoft Intune : Politiques de Conformité et : Guide Zero Trust M365 : Strategies de Detection et de Remediation API Microsoft Graph M365 - Guide Pratique Cybersecurite Microsoft 365 et Conformité - Guide Pratique Cybersecurite Audit Sécurité Microsoft 365 | Guide Microsoft 365 Audit Avancé Microsoft 365 - Guide Pratique Cybersecurite Pratiques Sécurité M365 2025 | Guide Microsoft 365 Microsoft 365 et Azure - Guide Pratique Cybersecurite Threat Hunting Microsoft 365 | Guide Microsoft 365 Top 10 Outils Analyse Securite Microsoft 365 — Guide Automatiser l'Audit de Sécurité : Analyse Technique Sécuriser les Accès Microsoft | Guide Microsoft 365

Virtualisation

25 articles
SDN Proxmox VE 9 : Zones, VNets, IPAM et Firewalls Architecture Proxmox VE 9.1 : Cluster 3 Nœuds + HA Réplication Proxmox VE : ZFS, Snapshots et Checklist Administration CLI Proxmox VE : Diagnostic Cluster Déploiement Automatisé Proxmox : Terraform et Ansible Proxmox VE 9.1 : Paramètres Avancés VM et Nested Virt Outils Proxmox VE : Monitoring, IaC et Écosystème 2026 Optimisation Proxmox VE 9 : CPU, RAM, ZFS, Ceph et HA Dimensionnement Proxmox VE 9 : CPU, RAM, Stockage, HA Proxmox VE : Cluster HA, Live Migration et Ceph 2026 Proxmox vs VMware vs Hyper-V : Comparatif Sécurité et Durcissement VMware ESXi : Guide Complet de Sécurisation ESXi Hardening : Guide Complet de Sécurisation Avancée Migration VMware vers Proxmox VE : Guide Complet : Guide Hyper-V Shielded VMs : Sécurisation Avancée du : Guide Proxmox Backup Server : Stratégie de Sauvegarde et Optimisation Proxmox - Guide Pratique Cybersecurite Évolutions Proxmox : Guide Expert Bonnes Pratiques Calculateur Sizing : Guide Expert Bonnes Pratiques NTP Proxmox : Guide Complet et Bonnes Pratiques pour Experts Dimensionnement : Strategies de Detection et de Remediation Guide Complet Proxmox - Guide Pratique Cybersecurite Migration VMware : Strategies de Detection et de Remediation Securite Proxmox VE : Guide Complet Hardening 2026 Hyper-V 2025 : Analyse Technique Approfondie et Securisation

Cybersécurité Générale

44 articles
Débuter en Pentest : Parcours et Ressources 2026 Carte des Menaces Cyber 2025-2026 : Threat Landscape 20 Erreurs Fatales en Cybersécurité : AD, Cloud et IA Certifications Cybersécurité 2026 : Guide Complet OSCP à CISSP 15 Mythes en Cybersécurité Démystifiés par un Pentester CrowdStrike vs Defender vs SentinelOne : Quel EDR en 2026 ? L'ingénierie sociale a gagné : vos firewalls ne servent plus à rien Quatre zero-days Chrome en 2026 : le navigateur est devenu la cible Zero-days exploités avant le patch : la nouvelle norme en 2026 Le délai d'exploitation se réduit à néant : ce que ça Deepfakes et Social Engineering : Menaces IA en 2026 Culture Sécurité en Entreprise : Changer les Comportements Programme Sensibilisation Cyber : Méthode et KPI 2026 Exercices Phishing Interne : Outils et Bonnes Pratiques Quand les défenseurs passent à l'attaque : leçons de Patch Tuesday ne suffit plus : repenser la gestion des Data brokers : les coffres-forts que tout le monde veut Vos outils d automatisation sont devenus des cibles Équipements en fin de vie : maillon faible sécurité quand vos défenseurs travaillent pour l adversaire Pipelines IA en production : vos agents LLM sont des cibles Time-to-exploit : quand les 0-day brûlent en quelques heures OWASP Top 10 : Guide Complet Vulnérabilités Web 2026 Nessus et Greenbone : Guide Scanners Vulnérabilités ANSSI ReCyF : NIS2 en pratique, ce qui change pour vous Pipelines IA : vos clés API sont les nouvelles clés du SI Ransomwares : Pourquoi Vos Sauvegardes Ne Sauvent Plus CI/CD : L'Angle Mort de la Sécurité DevOps en 2026 Vos Outils IA : la Nouvelle Surface d'Attaque Ignorée Ransomware Trends Q1 2026 : Analyse des Groupes en 2026 IOC Management : Automatiser la Threat Intel : Guide Complet Cyber Threat Landscape France 2026 : Bilan ANSSI en 2026 Darkweb Monitoring : Outils et Techniques 2026 en 2026 InfoStealers 2026 : Lumma, Raccoon et RedLine en 2026 Supply Chain APT : Comprendre les Attaques Etatiques Top 10 des Attaques - Guide Pratique Cybersecurite Top 10 Outils Securite Kubernetes 2025 — Guide Pratique Livre Blanc : Sécurisation | Threat Intelligence 2026 Guide Complet Sécurité Active | Guide Cyberdefense Top 5 des Outils : Strategies de Detection et de Remediation Top 10 Solutions EDR/XDR | Threat Intelligence 2026 Top 10 Outils Audit - Guide Pratique Cybersecurite Threat Hunting : Detection Proactive avec MITRE en 2026 APT29 2026 : Nouvelles TTP et Campagnes Cloud en 2026

Articles Techniques

105 articles
Retours d’Expérience Pentest : 5 Missions Terrain Anonymisées BloodHound vs SharpHound vs BloodyAD : Guide Comparatif 2026 Burp Suite vs OWASP ZAP : Quel Scanner Web Choisir en 2026 ? Nuclei vs Nessus vs Qualys : Scanners de Vulnérabilités Comparés Format String Exploitation Moderne : Du Crash au RCE en 2026 Race Conditions Kernel : Double-Fetch, TOCTOU et Exploitation BGP Hijacking et OSPF Exploitation : Attaques Routage Internet GPU Side-Channels : Attaques sur CUDA, OpenCL et WebGPU Intel ME et AMD PSP : Exploitation des Coprocesseurs Cryptanalyse Pratique : Attaques sur AES, RSA et ECC SGX, TDX et TEE : Attaques sur les Enclaves Sécurisées 2026 Hypervisor Escape : Techniques d'Évasion VMware, KVM et QEMU Linux Kernel Exploitation : Escalade de Privilèges Side-Channel Attacks : Spectre, Meltdown et Rowhammer ROP/JOP Chains : Exploitation Moderne des Binaires Protégés Heap Exploitation : Use-After-Free et Tcache Poisoning SGX, TDX et TEE : Attaques sur les Enclaves Sécurisées Hack The Box : Méthodologie pour Progresser en 2026 DVWA vs Juice Shop vs WebGoat : Comparatif Labs Web Lab Pentest Proxmox : Guide Complet d'Installation 2026 Top 5 Plateformes CTF et Entraînement Cyber en 2026 Architecture de Sécurité Matérielle Windows 11 & Server 2025 Windows Scheduler Internals : Architecture, Performance Architecture Windows Server 2025 : Noyau NT Expert Architecture Vertical Slice + Clean Lite : Guide 2026 Cryptographie Post-Quantique : Migration Pratique en 2026 Zero Trust Network : Implementation Pratique 2026 en 2026 C2 Frameworks Modernes : Mythic, Havoc, Sliver et Détection DNS Attacks : Tunneling, Hijacking et Cache Poisoning Exploitation de l’Infrastructure as Code Terraform et Exploitation des Protocoles Email : SMTP Smuggling et Att... GCP Offensive Security : Exploitation des Services Google Purple Team : Méthodologie et Exercices Collaboratifs Race Conditions et TOCTOU : Exploitation des Bugs de Windows Kernel Exploitation : Drivers, Tokens et KASLR Threat Intelligence : Automatiser la Veille Cyber en 2026 Attaques sur les Identity Providers Okta, Entra et Keycloak Attaques sur les Pipelines ML/AI et Empoisonnement de Mod... SSRF Avance : Bypass des Protections Cloud 2026 en 2026 Windows Kernel : Exploitation de Drivers Vulnerables Agents IA pour la Cyber-Défense et le Threat Hunting Cyber-Défense Agentique contre les APTs : Guide Complet Red Teaming des Agents Autonomes : Méthodologie et Shadow Hacking et Outils IA Non-Autorisés en Entreprise Container Escape : Techniques d'Évasion Docker et 2026 Exploitation Active Directory Certificate Services (ADCS) Hardware Hacking : JTAG, SWD, UART et Extraction de Firmware Post-Exploitation : Pillage, Pivoting et Persistance Sécurité Mobile Offensive : Android et iOS en 2026 Service Mesh Exploitation : Attaques sur Istio, Linkerd et SIM Swapping et Attaques Telecom : SS7, Diameter et 5G UEFI Bootkits et Attaques sur le Firmware : Persistance A... Attaques sur les Bases de Données SQL, NoSQL et GraphQL Attaques CI/CD Avancées : GitOps, ArgoCD et Flux en Attaques Serverless : Exploitation de Lambda, Azure Attaques sur les Smart Contracts et la Sécurité Web3 Attaques Wireless Avancées : Wi-Fi 7, BLE 5.4 et Zigbee Browser Exploitation Moderne : V8, Blink et les Sandbox Bypass FIDO2 et Passkeys : Attaques sur l'Authentification ICS/SCADA : Pentest d'Environnements Industriels en 2026 Supply Chain : Detecter les Dependances Malveillantes Incident Response : Playbook Ransomware 2026 : Guide Complet Reverse Engineering : Analyse de Firmware IoT en 2026 GraphQL Injection : Techniques d'Exploitation 2026 API Security : Fuzzing Avance avec Burp et Nuclei en 2026 Cloud Forensics : Investigation AWS et Azure : Guide Complet OAuth 2.1 : Nouvelles Protections et Migration en 2026 Pentest Wi-Fi 7 : Nouvelles Surfaces d'Attaque en 2026 C2 Frameworks 2026 : Mythic vs Havoc vs Sliver en 2026 DNS Tunneling Detection : Guide SOC Analyst : Guide Complet Phishing 2026 : Techniques Avancees de Spear-Phishing Web3 Security : Audit de Smart Contracts Solidity en 2026 Attaques sur CI/CD (GitHub - Guide Pratique Cybersecurite Azure AD : attaques - Guide Pratique Cybersecurite Supply-chain applicative (typosquatting, dependency Secrets sprawl : collecte - Guide Pratique Cybersecurite SSRF moderne (IMDSv2, gopher/file, : Guide Complet NTLM Relay moderne (SMB/HTTP, | Guide Technique 2026 Evasion d’EDR/XDR : techniques : Analyse Technique Phishing sans pièce jointe - Guide Pratique Cybersecurite Persistence sur macOS & - Guide Pratique Cybersecurite WebCache Deception & cache - Guide Pratique Cybersecurite Abus OAuth/OIDC : Consent - Guide Pratique Cybersecurite Sécurité des LLM et - Guide Pratique Cybersecurite Chaîne d'exploitation Kerberos en : Analyse Technique Living-off-the-Land (LOL-Bins/LOLBAS) à l’échelle en Exfiltration furtive (DNS, DoH, : Analyse Technique Kubernetes offensif (RBAC abuse, : Analyse Technique Désérialisation et gadgets en | Guide Technique 2026 Attaques sur API GraphQL - Guide Pratique Cybersecurite Escalades de privilèges AWS | Guide Technique 2026 OT/ICS : passerelles, protocoles : Analyse Technique Cloud IAM : Escalade de Privileges Multi-Cloud en 2026 AWS Lambda Security : Attaques et Defenses : Guide Complet Terraform Security : Audit et Durcissement IaC en 2026 SIEM : Correlations Avancees pour Threat Hunting en 2026 Mobile Pentest : Bypass SSL Pinning Android 15 en 2026 Container Escape 2026 : Nouvelles Techniques Docker Bug Bounty 2026 : Strategies et Plateformes : Guide Complet EDR Bypass 2026 : Techniques et Contre-Mesures en 2026 ZED de PRIM’X : Conteneurs Chiffrés et Sécurité des Malware Analysis : Sandbox Evasion Techniques en 2026 Purple Team : Exercices Pratiques AD et Cloud en 2026 OSINT 2026 : Outils et Techniques de Reconnaissance Kubernetes RBAC : 10 Erreurs de Configuration Critiques

Conformité

54 articles
SOA ISO 27001 : Statement of Applicability Complet Feuille de Route ISO 27001 : Certification en 12 Étapes Checklist Audit ISO 27001 : 93 Contrôles Annexe A 2022 Charte Informatique Entreprise : Guide et Modèle Word Analyse de Risques ISO 27005 : Méthodologie Complète PSSI ISO 27001 : Guide Rédaction et Modèle Complet Aspects Juridiques et Éthiques de l’IA : Cadre Réglementaire Classification des données : méthodes et outils pratiques Analyse d'impact AIPD : méthodologie CNIL pas à pas NIS 2 et DORA : double conformité du secteur financier Maturité cybersécurité : modèles CMMC et NIST CSF 2.0 Cartographie des risques cyber avec EBIOS RM en 2026 SMSI ISO 27001 version 2022 : guide complet pas à pas Audit de conformité RGPD : checklist complète pour DPO NIS2, DORA et RGPD : Cartographie des Exigences Croisées IEC 62443 : Cybersécurité Industrielle OT - Guide : Guide Audit de Sécurité du SI : Méthodologie Complète et PRA/PCA Cyber : Plan de Reprise et Continuité d'Activité Qualification PASSI ANSSI : Devenir Prestataire d'Audit Audit de Securite Cloud : Checklist Conformite 2026 PCI DSS 4.0.1 : Nouvelles Exigences Mars 2026 en 2026 Conformite Multi-Referentiels : Approche Unifiee 2026 NIS 2 Phase Operationnelle : Bilan 6 Mois Apres en 2026 Aspects Juridiques et Ethiques de l'IA en Entreprise ISO/IEC 42001 Foundation : Système de Management IA ISO 42001 Lead Auditor : Auditer un Systeme de Management ISO 42001 Lead Implementer : Management de l’IA et RGPD et AI Act : Guide Complet pour les Organisations en ... Développement Sécurisé ISO 27001 : Cycle S-SDLC en 6 Cyber Assurance 2026 : Exigences et Marche Durci en 2026 SOC 2 Type II : Retour d'Experience Implementation DORA 2026 : Impact sur le Secteur Financier Francais Cyber-assurance 2026 : Nouvelles Exigences et Guide Complet AI Act 2026 : Guide Conformité Systèmes IA à Haut Risque Cyber Resilience Act 2026 : Guide Anticipation Produits C... DORA 2026 : Premier Bilan et Contrôles ACPR - Guide Complet NIS 2 Phase Opérationnelle 2026 : Guide Complet de Mise RGPD 2026 : Securite des Donnees et Enforcement CNIL - Gu... HDS 2026 : Certification Hébergeur de Données de Santé - PCI DSS 4.0.1 en 2026 : Retour d'Expérience et Guide SBOM 2026 : Obligation de Sécurité et Guide Complet SecNumCloud 2026 et EUCS : Guide Complet Qualification Cryptographie Post-Quantique : Guide Complet pour les SI ... ISO 27001:2022 Guide Complet Certification Expert 2026 NIS 2 : Guide Complet de la Directive Européenne sur la SOC 2 : Guide Complet Conformite pour Organisations RGPD 2026 : Durcissement des Sanctions par la CNIL HDS 2026 : Certification Hebergement de Donnees Sante Cyber Resilience Act : Guide de Conformite Produits RGPD et IA Generative : Guide de Conformite CNIL en 2026 SecNumCloud 2026 : Migration et Certification EUCS AI Act Classification : Systemes a Haut Risque en 2026 SBOM 2026 : Obligation de Transparence Logicielle en 2026 ISO 27001:2022 vs ISO 27001:2013 : Differences Cles

SOC et Detection

25 articles
Incident Triage : Classification et Priorisation SOC 2026 Threat Hunting Proactif : Techniques et Outils SOC 2026 Sigma Rules : Standard de Détection Universel Guide Complet SOC as a Service : Externaliser la Détection Guide 2026 XDR vs SIEM vs EDR : Comprendre les Différences en 2026 Purple Team : Collaboration entre SOC et Red Team Guide Détection du Mouvement Latéral : Guide Complet SOC 2026 Triage des Alertes SOC : Méthodologie Complète pour Analyste NDR : Détection Réseau et Réponse aux Menaces Guide 2026 SIEM Cloud-Native vs On-Premise : Comparatif Complet 2026 Log Management : Architecture et Rétention SOC : Guide Use Cases SIEM : 50 Règles Détection Essentielles : Gui SOC Metrics et KPIs : Mesurer la Performance : Guide Co SOAR : Automatisation Réponse Incident Guide : Guide Co Threat Intelligence Platforms : Comparatif 2026 : Guide Microsoft Sentinel : Déploiement et Règles KQL : Guide Splunk Enterprise Security : Configuration SOC : Guide Elastic SIEM : Stack Détection Open Source 2026 : Guide SOC Moderne : Architecture et Outils Guide 2026 : Guide Analyste SOC : Niveaux, Parcours et Compétences : Guide Threat Hunting : Méthodologie, Outils et Pratique pour Detection Engineering : Construire des Règles de : Guide Detection-as-Code : Pipeline CI/CD pour Règles SIEM et Sigma Rules : Guide Complet d'Écriture et Déploiement de Wazuh SIEM/XDR Open Source : Déploiement, Configuration

Cloud Security

45 articles
Cloud Forensics Avancée Post-Compromission sur AWS Cloud Pentest : Méthodologie Complète Audit AWS et Azure Cloud Logging : Guide Centralisation et Monitoring Sécurité Cloud Network Security : Guide Complet VPC, WAF et DDoS DevSecOps Cloud : Guide Pipeline CI/CD Sécurisé Complet Cloud Disaster Recovery : Guide PRA et Résilience Cloud Cloud Compliance : Guide RGPD, HDS et SecNumCloud 2026 Cloud Forensics : Guide Investigation Incident Cloud 2026 Infrastructure as Code Security : Guide Terraform Complet Cloud Encryption : Guide Chiffrement Données et Clés KMS CASB : Guide Comparatif Cloud Access Security Broker 2026 Container Security : Docker et Runtime Protection Avancée Serverless Security : Sécuriser Lambda et Functions Cloud Multi-Cloud Security : Guide Stratégie Sécurité Unifiée Cloud IAM : Guide Gestion Identités et Accès Cloud 2026 Kubernetes Security : Guide Durcissement Cluster K8s 2026 Sécurité AWS : Guide Complet Hardening Compte et Services Azure Security Center : Guide Configuration Complète 2026 GCP Security : Bonnes Pratiques et Guide Audit Cloud 2026 CSPM : Guide Cloud Security Posture Management Complet CNAPP : Guide Protection Cloud-Native Applications 2026 ZTNA Zero Trust Network Access Cloud : Guide Complet Disaster Recovery Cloud : PRA Multi-Région en 2026 Attaques sur Metadata Services Cloud : SSRF et IMDS FinOps Sécurité : Cryptomining Ressources Fantômes Secrets Management Cloud : Vault et Key Vault 2026 Cloud Compliance NIS 2 SecNumCloud ISO 27017 Guide Sécurité Multi-Cloud : Stratégie Unifiée AWS, Azure et GCP Cloud Misconfiguration : Top des Erreurs de Sécurité et Cloud IAM : Sécurisation des Identités et Accès AWS, CSPM : Cloud Security Posture Management - Guide Complet Souveraineté Cloud : Protéger les Données Sensibles en Container Registry : Guide Sécurité Images Docker 2026 Cloud Logging Monitoring : Visibilité Complète 2026 Service Mesh Security : Sécuriser Istio et Linkerd Cloud Pentest Azure : Exploitation Misconfiguration Terraform IaC Sécurisé : Checklist de Durcissement Cloud Pentest AWS avec Pacu et CloudFox : Le Guide Sécurité Serverless : Lambda Functions et Protection CNAPP Cloud-Native Application Protection Platform Kubernetes Security : RBAC et Network Policies 2026 GCP Security Command Center : Audit et Durcissement Azure Defender for Cloud : Guide Configuration 2026 AWS Security : Les 20 Services Sécurité Essentiels Sécuriser une Architecture Multi-Cloud AWS et Azure

Retro-Ingenierie

18 articles
Frida et DynamoRIO : Instrumentation Binaire Avancée 2026 Symbolic Execution : Angr, Triton et Découverte d'Exploits Analyse Mémoire Forensique : Volatility pour Malware Analyse de Shellcode : Techniques de Rétro-Ingénierie Rétro-Ingénierie de C2 : Cobalt Strike et Brute Ratel Anti-Analyse Malware : Techniques et Contournements Analyse de Stealers : RedLine, Raccoon, Lumma 2026 Unpacking Malware Avancé : Techniques et Outils 2026 Rétro-Ingénierie de Ransomware : Analyse Technique Analyse Dynamique de Malware Avancée : Sandbox Expert Anti-Rétro-Ingénierie APT - Techniques d'Évasion Avancées Disséquer l'Obscurité : Techniques Avancées de Déobfuscation IA Frameworks pour l'Analyse de Malwares - Deep Learning Malwares Mobiles & IA - Rétro-Ingénierie Cross-Platform Chasse aux Fantômes : Rétro-Ingénierie Ghidra : Guide de Reverse Engineering pour Débutants Fileless Malware : Analyse, Détection et Investigation Reverse Engineering .NET : Décompilation, Analyse et

News

202 articles
Microsoft force la mise à jour vers Windows 11 25H2 sur les PC non gérés Affinity : une fuite de données expose 175 000 utilisateurs du forum Axios npm piraté : la Corée du Nord derrière l attaque supply chain React2Shell : 766 serveurs Next.js compromis, credentials volés Drift Protocol : hack à 285 M$ attribué à la Corée du Nord Cisco IMC : faille critique CVSS 9.8 permet un accès admin NoVoice : un rootkit Android caché dans 50 apps du Play Store Apple étend iOS 18.7.7 pour contrer l'exploit DarkSword Fortinet : faille critique FortiClient EMS exploitée activement Slack déploie 30 fonctionnalités IA et devient un agent autonome Commission européenne hackée via Trivy : 30 entités UE exposées BrowserGate : LinkedIn scanne vos extensions de navigateur en secret CVE-2026-0625 : zero-day critique dans les routeurs D-Link EOL GlassWorm : 72 extensions Open VSX piégées ciblent les développeurs CVE-2026-5281 : zero-day Chrome WebGPU exploité activement Le CMA britannique lance une enquête sur les licences cloud Microsoft Google NotebookLM passe à Gemini 2.5 Flash pour le raisonnement OpenAI teste des Skills pour ChatGPT, inspirées de Claude Faille critique Fortinet CVE-2026-32756 : exploitation active Akira Ransomware cible les ESXi via une faille vCenter inédite Microsoft lance Copilot Security Agents pour automatiser le SOC Claude 4 Opus d Anthropic : benchmark et implications sécurité NIS 2 : Premières Sanctions ANSSI en France 2026 Rebellions lève 400 M$ pour défier Nvidia sur les puces IA Exchange Online : Microsoft peine à résoudre des pannes persistantes TridentLocker frappe Sedgwick, sous-traitant du gouvernement US Hims & Hers : ShinyHunters vole des millions de tickets Zendesk Qilin revendique le vol de données du parti allemand Die Linke Interlock exploite un zero-day Cisco FMC CVSS 10 depuis janvier SparkCat : un malware vole les cryptos depuis les stores mobiles Microsoft lance ses propres modèles IA pour défier OpenAI Fuite Claude Code : des dépôts GitHub piégés diffusent Vidar PTC Windchill : la police allemande réveille les admins GitHub Copilot entraîne ses IA sur vos données dès le 24 285 M$ volés en 12 minutes par des hackers nord-coréens 766 serveurs Next.js compromis par vol de credentials une faille CVSS 9.8 permet le reset des mots de passe admin Cisco corrige deux failles critiques CVSS 9.8 dans IMC et Le FBI alerte sur les risques des applications mobiles ShareFile : deux failles chaînées permettent une RCE sans NoVoice : un malware Android sur Google Play vole les un exploit kit iOS cible WebKit et le kernel Apple Microsoft alerte sur une campagne VBS avec bypass UAC TrueChaos : un APT chinois exploite TrueConf pour cibler Microsoft lance Copilot Wave 3 et Agent 365 pour l'ère UAC-0255 usurpe le CERT-UA et diffuse le RAT AGEWHEEZE Chrome : Google corrige un 4e zero-day exploité en 2026 L'Iran relance Pay2Key avec des pseudo-ransomwares TeamPCP compromet des environnements cloud via des Le CMA ouvre une enquête sur Microsoft pour ses licences VMware Aria Operations : RCE critique exploitée activement Cisco SD-WAN : un zero-day CVSS 10 exploité depuis trois ans Citrix NetScaler : faille critique CVSS 9.3 exploitée Databricks lance Lakewatch, un SIEM dopé à l'IA générative Microsoft enchaîne les correctifs d'urgence Windows en 2026 Axios piraté : un RAT distribué via npm à 100 millions CareCloud Breach : Dossiers Patients Exposés en 2026 le malware IA qui vole vos identifiants navigateur ChatGPT : une faille permettait l'exfiltration de données LexisNexis piraté : 400 000 profils cloud exposés via ShinyHunters vole 350 Go de données à la Commission Aflac notifie 22 millions de clients après une cyberattaque CTRL : toolkit RAT russe ciblant les entreprises via RDP macOS Tahoe 26.4 : Apple bloque les attaques ClickFix 10 561 failles détectées dans 1,2 million de commits GitHub : de fausses alertes VS Code propagent un malware Microsoft retire la mise à jour KB5079391 après des Le DoJ démantèle des botnets IoT derrière le DDoS record FortiGate : campagne active de vol de credentials ciblant CISA alerte sur une RCE exploitée, 24 700 instances exposées CVE-2026-20131 : Interlock exploite un zero-day Cisco FMC NIST renouvelle son guide de sécurité DNS après douze ans Handala pirate la messagerie du directeur du FBI Kash Patel Infinity Stealer : un nouveau malware cible macOS via Windows 11 : Microsoft publie un correctif d'urgence le fossé des compétences se creuse entre experts et novices Ubiquiti UniFi : faille CVSS 10 expose 29 000 équipements CVE-2026-21385 : Qualcomm corrige un zero-day Android CVE-2026-0625 : zero-day exploité sur routeurs D-Link Google corrige deux zero-days Skia et V8 exploités Mistral lance Voxtral TTS, modèle vocal open source à 4B GitHub lance la détection IA pour sécuriser le code source CVE-2026-3055 : Citrix NetScaler sous reconnaissance active Crunchyroll piraté : 6,8 millions de comptes compromis TeamPCP piège le SDK Telnyx sur PyPI via stéganographie WAV CVE-2025-53521 : F5 BIG-IP exploité, CISA exige un patch BlackCat : deux experts cybersécurité plaident coupable CVE-2026-32746 : RCE root non authentifié dans Telnetd APT28 exploite un 0-day MSHTML avant le Patch Tuesday Red Menshen : BPFDoor espionne les télécoms depuis 2021 Anthropic : la justice américaine bloque le ban de Trump Commission européenne : 350 Go volés via un cloud AWS Bearlyfy frappe 70 entreprises russes avec GenieLocker LangChain et LangGraph : trois failles critiques révélées PolyShell : 57 % des boutiques Magento vulnérables attaquées CVE-2026-33017 Langflow : RCE non authentifié exploité Qilin cible Malaysia Airlines : données passagers volées Conduent : brèche SafePay expose 25 millions d'Américains Mistral Small 4 : un seul modèle MoE remplace trois IA PolyShell : skimmer WebRTC vole 56 % des boutiques Magento CanisterWorm : TeamPCP infecte Trivy et 66 packages npm GlassWorm utilise Solana comme C2 pour son RAT furtif Medusa Ransomware : 9 jours hors-ligne pour un hôpital US Mandiant M-Trends 2026 : accès initial cédé en 22 secondes CVE-2026-20131 Cisco FMC : CVSS 10.0, hôpitaux visés CERTFR-2026-ALE-003 : ANSSI alerte sur les messageries Opération Checkmate : BlackSuit ransomware démantélé LiteLLM piraté : attaque supply chain PyPI TeamPCP EvilTokens PhaaS : 340 organisations M365 touchées Slopoly : Hive0163 déploie un malware généré par IA FCC interdit l'import de routeurs étrangers aux USA Silver Fox APT : espionnage et cybercrime ciblant l Asie Firefox 149 intègre un VPN gratuit et le Split View CVE-2026-32746 : RCE root non authentifié, GNU Telnetd CVE-2026-22557 Ubiquiti UniFi CVSS 10.0, 87 000 exposés TELUS Digital : ShinyHunters et le Vol de 1 PO de Data CVE-2025-32975 : Quest KACE SMA CVSS 10.0 exploité NVIDIA Agent Toolkit : IA autonome sécurisée en prod CVE-2026-3055 Citrix NetScaler : fuite de tokens SAML Crunchyroll confirme une fuite touchant 6,8 M d'utilisateurs Tycoon 2FA démantelé : Europol met fin au PhaaS MFA bypass TeamPCP étend son attaque supply chain à Checkmarx KICS CVE-2026-33017 Langflow : RCE exploité 20h après disclosure Stryker : le wiper iranien Handala détruit 80 000 terminaux Zero-Day CVSS 10.0 PTC Windchill : webshells en production Un hacker russe condamné à 81 mois pour ransomware La Corée du Nord piège les devs crypto via VS Code CMA UK : décision imminente contre AWS et Microsoft Moscou Usurpe Signal pour Cibler Officiels et Journalistes Microsoft Corrige en Urgence son Patch Tuesday Cassé GlassWorm Piège 72 Extensions VSCode pour Voler des Secrets PhantomRaven : Campagne npm Cible les Secrets CI/CD VMware Aria Operations CVE-2026-22719 : CISA KEV RCE Cisco FMC CVE-2026-20131 : Interlock RCE Root Actif DarkSword : exploit iOS zero-day ciblant les iPhones Le DoJ démantèle 4 botnets IoT au record de 31 Tbps n8n : 4 Failles RCE Critiques, 24 700 Serveurs Exposés Trivy : Attaque Supply Chain via GitHub Actions 2026 Meta : Agent IA Autonome Déclenche un Incident Critique Mistral Small 4 : Le Modèle Open Source 119B Tout-en-Un CVE-2026-21992 : Oracle Identity Manager RCE CVSS 9.8 Malaysia Airlines : le Groupe Quilin Exfiltre les Données Marquis Financial : 672 000 Victimes et Données Bancaires CVE-2025-68613 n8n : CISA KEV, 24 700 instances RCE exposées Navia Benefit Solutions : 2,7M dossiers santé exposés Opération Alice : 373 000 sites dark web démantelés CVE-2026-32746 : RCE Root dans GNU Telnetd CVSS 9.8 APT28 BadPaw et MeowMeow : Nouvelles Armes Contre l'Ukraine APT41 Silver Dragon : Espionnage via Google Drive C2 CVE-2026-20131 : Cisco FMC Zero-Day CVSS 10 Exploité CVE-2026-20963 SharePoint RCE Exploité : Alerte CISA KEV CVE-2026-33017 Langflow RCE : Exploité en Moins de 20h Iran-Handala : Wiper sur Stryker, FBI Saisit les Domaines CERT-FR : Messageries Instantanées Détournées Sans Malware TELUS Digital : ShinyHunters Vole 1 Pétaoctet de Données GLM-5 : Zhipu AI Lance un Modele 744B Parametres en 2026 Kali Linux 2025.4 : Passage a Wayland par Defaut en 2026 RSAC 2026 : Les Tendances Cybersecurite de l'Annee Patch Tuesday Fevrier 2026 : 4 Zero-Days Critiques Google Finalise l'Acquisition de Wiz pour 32 Milliards Gemini 3.1 Pro : 1 Million de Tokens en Contexte en 2026 Entra ID : Jailbreak de l'Authenticator Decouvert en 2026 FIRST Prevoit 50 000 CVE Publiees en 2026 : Guide Complet Entra ID : Migration Obligatoire vers DigiCert G2 en 2026 Anthropic Lance Cowork : Claude Sans Code pour Tous FCC Alerte : Ransomware Quadruple Depuis 2021 en 2026 Qilin Ransomware Domine le Paysage des Menaces Q1 2026 McDonald's India : Everest Ransomware Frappe Fort en 2026 CNIL France Travail : Sanction de 5 Millions EUR en 2026 CNIL : Free Mobile Sanctionne a 42 Millions EUR en 2026 Patch Tuesday Janvier 2026 : 112 CVE Corrigees en 2026 Microsoft Publie un Guide de Durcissement AD Complet Kali Linux 2025.3 : 15 Nouveaux Outils de Pentest en 2026 Cegedim Sante : 15 Millions de Patients Exposes en 2026 Kubernetes 1.35 : User Namespaces en Production en 2026 CNIL : Amende de 3,5M EUR pour Partage Illegal de Donnees SoundCloud et Inotiv : Double Fuite de Donnees en 2026 Leroy Merlin : Fuite de Donnees de 2 Millions de Clients GPT-5.2 : OpenAI Repousse les Limites a 400K Tokens React2Shell : RCE Critique CVSS 10 dans React Native BadSuccessor : Nouvelle Faille Critique Windows AD NIS 2 : l'Allemagne Adopte sa Loi de Transposition Shai-Hulud 2 : Supply Chain NPM Compromis a Grande Echelle Llama 4 Scout et Maverick : Meta Passe au Multimodal Microsoft Renforce la Protection CSP dans Entra ID Attaques Active Directory en Hausse de 42% en 2025 CVE-2025-20337 : RCE Critique dans Cisco ISE : Guide Complet Claude 4.5 : Anthropic Mise sur les Agents IA en 2026 Gemini 3 : Google Bat Tous les Benchmarks LLM en 2026 GPT-5.1 : OpenAI Lance son Modele le Plus Puissant ISO 27001:2022 : Fin de Transition en Octobre 2025 DoorDash : Fuite Massive via Social Engineering en 2026 OpenAI Renonce a l'Open Source pour ses Modeles IA SimonMed : Medusa Ransomware Expose 500K Patients en 2026 Ingénierie Sociale par IA : Menace Cyber n°1 en 2025 Failles de Sécurité Critiques Découvertes dans l'App Cisco Lance un Outil pour Sécuriser les Déploiements Faille Microsoft 365 Copilot Permet l'Exfiltration de Microsoft Déploie un Fix d'Urgence pour le Bug en 2026 Crimson Collective Exfiltre 12 To via F5 BIG-IP en 2026 Oracle EBS : Zero-Day RCE Exploite en Production en 2026 CVE-2025-64446 : Faille Critique FortiWeb CVSS 9.8

Livres Blancs

14 articles
Livres Blancs Gratuits
Voir tous →
DFIR : Réponse à Incident et Forensics | Guide Expert

DFIR : Réponse à Incident et Forensics | Guide Expert
Zero Trust : Architecture et Déploiement Entreprise

Zero Trust : Architecture et Déploiement Entreprise
Red Team vs Blue Team : Méthodologies et Outils Expert

Red Team vs Blue Team : Méthodologies et Outils Expert
Sécurité Microsoft 365 : Audit et Durcissement Complet

Sécurité Microsoft 365 : Audit et Durcissement Complet
Guide Complet du Pentest Cloud : AWS, Azure et GCP

Guide Complet du Pentest Cloud : AWS, Azure et GCP
Sécurité DevSecOps : Intégrer la Sécurité dans le CI/CD

Sécurité DevSecOps : Intégrer la Sécurité dans le CI/CD
IA Offensive et Défensive en Cybersécurité | Guide 2025

IA Offensive et Défensive en Cybersécurité | Guide 2025
Conformité ISO 27001 : Guide Pratique d'Implémentation

Conformité ISO 27001 : Guide Pratique d'Implémentation
Livre Blanc : Securite Active Directory — Guide Pratique
PDF

Livre Blanc : Securite Active Directory — Guide Pratique
Livre Blanc : Anatomie Attaque Ransomware — Guide Pratique

Livre Blanc : Anatomie Attaque Ransomware — Guide Pratique
Livre Blanc : Pentest Cloud AWS Azure GCP — Guide Pratique

Livre Blanc : Pentest Cloud AWS Azure GCP — Guide Pratique
Livre Blanc : Securite Kubernetes — Guide Pratique

Livre Blanc : Securite Kubernetes — Guide Pratique

Téléchargement gratuit · Aucune inscription requise

Tous les livres blancs
Checklists Sécurité — Audit & Durcissement
Formats disponibles
📄 PDF 📊 Excel 🌐 Web

11 checklists professionnelles couvrant 2 200+ points de contrôle. Téléchargement gratuit, aucune inscription.

Toutes les checklists Demander un audit
Guides Conformité & Réglementations 2026
Audit & Pentest
Pentest Active Directory Pentest Cloud Pentest Kubernetes Pentest Virtualisation Pentest Microsoft 365 Audit Infrastructure Audit Kubernetes Audit Microsoft 365
Conformité & Gouvernance
ISO 27001 EBIOS RM AirCyber — Boost Aerospace
Forensics & Incident
Investigation numérique Réponse à incident Rétro-ingénierie Analyse données chiffrées
Tous les articles Articles IA Livres Blancs Grands Guides Checklists Sécurité Blog Actualités Tech Alertes CVE Recherche avancée
Formations
Normes
ISO 27001 SOC 2 PCI DSS 4.0.1
Certifications France
HDS 2026 SecNumCloud 2026
Réglementations 2026
DORA 2026 NIS 2 AI Act 2026 CRA RGPD 2026
IA & Certifications
ISO 42001 Foundation ISO 42001 Lead Implementer ISO 42001 Lead Auditor
Contact
Checklist Sécurité ANC

🛡️ Checklist Sécurité Microsoft Defender Antivirus

Configuration Defender : protection temps réel, ASR rules, tamper protection, cloud protection, exclusions et EDR.

17 sections 223 contrôles 20089 mots PDF + Excel

Checklist de configuration optimale de Microsoft Defender : protection temps réel, règles ASR (Attack Surface Reduction), tamper protection, cloud-delivered protection, gestion des exclusions et intégration EDR. Couvre les 223 points de contrôle essentiels pour une protection endpoint robuste.

PDF Excel
📑 Table des matières

CHECKLIST DE SÉCURITÉ - MICROSOFT DEFENDER ANTIVIRUS

AYI NEDJIMI CONSULTANTS

Propriété Valeur
Document Checklist de Sécurité Microsoft Defender Antivirus
Version 1.0
Date 04 avril 2026
Classification CONFIDENTIEL
Auteur AYI NEDJIMI CONSULTANTS
Références CIS Defender Antivirus v1.0.0, MS Security Baselines, NIST 800-53, MITRE ATT&CK

AVERTISSEMENT

Ce document contient des informations confidentielles et propriétaires d’AYI NEDJIMI CONSULTANTS. La reproduction, distribution ou divulgation non autorisée est strictement interdite.

LÉGENDE DES CONTRÔLES

Symbole Signification Description
Conforme Le contrôle est correctement implémenté
Non-conforme Le contrôle n’est pas implémenté ou mal configuré
⚠️ Attention Configuration partiellement conforme nécessitant des ajustements
N/A Non applicable Le contrôle ne s’applique pas à cet environnement

NIVEAUX DE CRITICITÉ

Niveau Description Action requise
🔴 Critique Vulnérabilité majeure, exploitation possible Correction immédiate obligatoire
🟠 Élevé Risque significatif pour la sécurité Correction dans les 48h
🟡 Moyen Amélioration de la posture de sécurité Correction dans la semaine
🟢 Faible Optimisation et bonnes pratiques Correction lors de la maintenance

MODE DÉCOUVERTE RAPIDE — 15 QUESTIONS CLÉS

Instructions : Répondez par ✅ OUI / ❌ NON pour une évaluation rapide de votre posture Defender

# Question Clé Réponse Section
1 La protection en temps réel est-elle activée sur tous les endpoints ? S1
2 Les définitions de virus sont-elles mises à jour automatiquement ? S3
3 La protection cloud (MAPS) est-elle configurée ? S2
4 Les règles ASR (Attack Surface Reduction) sont-elles déployées ? S6
5 La protection du réseau est-elle activée ? S7
6 L’accès contrôlé aux dossiers est-il configuré ? S8
7 La protection contre l’exploitation est-elle activée ? S9
8 Defender for Endpoint est-il déployé ? S10
9 La protection contre la falsification est-elle active ? S11
10 Les exclusions sont-elles documentées et justifiées ? S5
11 Les analyses programmées fonctionnent-elles correctement ? S4
12 La gestion des IOC est-elle implémentée ? S14
13 Les rapports de sécurité sont-ils configurés ? S15
14 Un plan de réponse aux incidents est-il en place ? S17
15 La gouvernance des politiques est-elle établie ? S18

Score de découverte rapide : ___/15

INFORMATIONS CLIENT

Champ Valeur
Organisation _________________________
Contact principal _________________________
Email _________________________
Date d’évaluation _________________________
Évaluateur ANC _________________________
Périmètre _________________________
Nombre d’endpoints _________________________
Version Defender _________________________
Environnement ☐ On-premises ☐ Cloud ☐ Hybride
Intégration MDE ☐ Oui ☐ Non

SECTION S1 — PROTECTION EN TEMPS RÉEL

Objectif : Assurer une protection continue contre les menaces en temps réel via le moteur antivirus de Microsoft Defender.

Contrôles : 30 | Criticité moyenne : 🔴 Critique

S1.1.1 — Activation de la protection en temps réel

Niveau : 🔴 Référence CIS : CIS Defender 1.1 MITRE ATT&CK : T1562.001

Description : La protection en temps réel doit être activée pour surveiller en permanence les fichiers, processus et activités système contre les menaces connues et inconnues.

Vérification :

  • PowerShell: Get-MpPreference | Select-Object -Property DisableRealtimeMonitoring
  • Registre: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableRealtimeMonitoring
  • Intune: Endpoint Security > Antivirus > Real-time protection

Remédiation :

  1. Set-MpPreference -DisableRealtimeMonitoring
  2. GPO: Computer Config > Admin Templates > Windows Components > Microsoft Defender Antivirus > Real-time Protection > Turn off real-time protection = Disabled
  3. Intune: Devices > Configuration profiles > Endpoint protection > Microsoft Defender Antivirus

Valeur par défaut : Enabled État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S1.1.2 — Protection contre le téléchargement de fichiers

Niveau : 🔴 Référence CIS : CIS Defender 1.2 MITRE ATT&CK : T1566.001

Description : Contrôle l’analyse en temps réel des fichiers téléchargés depuis Internet pour bloquer les menaces avant leur exécution.

Vérification :

  • PowerShell: Get-MpPreference | Select-Object -Property DisableIOAVProtection
  • Registre: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableIOAVProtection

Remédiation :

  1. Set-MpPreference -DisableIOAVProtection
  2. GPO: Turn off scanning of downloaded files and attachments = Disabled

Valeur par défaut : Enabled État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S1.1.3 — Surveillance des fichiers et programmes

Niveau : 🔴 Référence CIS : CIS Defender 1.3 MITRE ATT&CK : T1204.002

Description : Active la surveillance en temps réel de l’activité des fichiers et programmes sur le système pour détecter les comportements malveillants.

Vérification :

  • PowerShell: Get-MpPreference | Select-Object -Property DisableOnAccessProtection
  • Registre: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableOnAccessProtection

Remédiation :

  1. Set-MpPreference -DisableOnAccessProtection
  2. GPO: Turn off real-time file and program monitoring = Disabled

Valeur par défaut : Enabled État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S1.1.4 — Protection contre les scripts malveillants

Niveau : 🔴 Référence CIS : CIS Defender 1.4 MITRE ATT&CK : T1059

Description : Active la protection contre l’exécution de scripts malveillants via l’Antimalware Scan Interface (AMSI).

Vérification :

  • PowerShell: Get-MpPreference | Select-Object -Property DisableScriptScanning
  • Registre: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableScriptScanning

Remédiation :

  1. Set-MpPreference -DisableScriptScanning
  2. GPO: Configure script scanning = Enabled

Valeur par défaut : Enabled État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S1.1.5 — Protection de l’intégrité du comportement

Niveau : 🟠 Référence CIS : CIS Defender 1.5 MITRE ATT&CK : T1055

Description : Active la surveillance comportementale pour détecter les activités suspectes et les techniques d’évasion avancées.

Vérification :

  • PowerShell: Get-MpPreference | Select-Object -Property DisableBehaviorMonitoring
  • Registre: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableBehaviorMonitoring

Remédiation :

  1. Set-MpPreference -DisableBehaviorMonitoring
  2. GPO: Turn off behavior monitoring = Disabled

Valeur par défaut : Enabled État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S1.2.1 — Limite d’utilisation CPU pour l’analyse temps réel

Niveau : 🟡 Référence CIS : CIS Defender 1.6 MITRE ATT&CK : N/A

Description : Configure la limitation d’utilisation CPU pour l’analyse en temps réel afin d’équilibrer sécurité et performance système.

Vérification :

  • PowerShell: Get-MpPreference | Select-Object -Property ScanAvgCPULoadFactor
  • Registre: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Scan\AvgCPULoadFactor

Remédiation :

  1. Set-MpPreference -ScanAvgCPULoadFactor 50
  2. GPO: Specify the maximum percentage of CPU utilization = 50%

Valeur par défaut : 50% État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S1.2.2 — Analyse des processus nouveaux et modifiés

Niveau : 🟠 Référence CIS : CIS Defender 1.7 MITRE ATT&CK : T1543

Description : Configure l’analyse automatique des processus nouvellement créés ou modifiés pour détecter les activités malveillantes.

Vérification :

  • PowerShell: Get-MpPreference | Select-Object -Property RealTimeScanDirection

Remédiation :

  1. Set-MpPreference -RealTimeScanDirection Both
  2. GPO: Monitor file and program activity on your computer = Incoming and outgoing files

Valeur par défaut : Incoming files only État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S1.2.3 — Configuration des extensions de fichiers surveillées

Niveau : 🟡 Référence CIS : CIS Defender 1.8 MITRE ATT&CK : T1036.005

Description : Définit les extensions de fichiers à surveiller prioritairement pour optimiser les performances tout en maintenant la sécurité.

Vérification :

  • PowerShell: Get-MpPreference | Select-Object -Property ScanParameters

Remédiation :

  1. Set-MpPreference -ScanParameters 1
  2. GPO: Scan all downloaded files and attachments = Enabled

Valeur par défaut : Default extensions only État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S1.2.4 — Analyse des archives et fichiers compressés

Niveau : 🟠 Référence CIS : CIS Defender 1.9 MITRE ATT&CK : T1027.002

Description : Configure l’analyse approfondie des fichiers d’archives pour détecter les malwares dissimulés dans les conteneurs compressés.

Vérification :

  • PowerShell: Get-MpPreference | Select-Object -Property DisableArchiveScanning
  • Registre: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Scan\DisableArchiveScanning

Remédiation :

  1. Set-MpPreference -DisableArchiveScanning
  2. GPO: Scan archive files = Enabled

Valeur par défaut : Enabled État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S1.2.5 — Surveillance des lecteurs réseau

Niveau : 🟡 Référence CIS : CIS Defender 1.10 MITRE ATT&CK : T1021.002

Description : Active l’analyse des fichiers accessibles via les partages réseau pour prévenir la propagation latérale des menaces.

Vérification :

  • PowerShell: Get-MpPreference | Select-Object -Property DisableScanningNetworkFiles
  • Registre: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Scan\DisableScanningNetworkFiles

Remédiation :

  1. Set-MpPreference -DisableScanningNetworkFiles
  2. GPO: Scan network files = Enabled

Valeur par défaut : Disabled État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S1.3.1 — Analyse des emails et pièces jointes

Niveau : 🟠 Référence CIS : CIS Defender 1.11 MITRE ATT&CK : T1566.001

Description : Active l’analyse des emails entrants et pièces jointes via l’intégration avec les clients de messagerie.

Vérification :

  • PowerShell: Get-MpPreference | Select-Object -Property DisableEmailScanning
  • Registre: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Scan\DisableEmailScanning

Remédiation :

  1. Set-MpPreference -DisableEmailScanning
  2. GPO: Scan e-mail = Enabled

Valeur par défaut : Enabled État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S1.3.2 — Protection contre les rootkits

Niveau : 🔴 Référence CIS : CIS Defender 1.12 MITRE ATT&CK : T1014

Description : Active la détection et suppression des rootkits via l’analyse au niveau noyau et les technologies de virtualisation.

Vérification :

  • PowerShell: Get-MpComputerStatus | Select-Object -Property AMEngineVersion,ProductStatus
  • Event Viewer: Microsoft-Windows-Windows Defender/Operational

Remédiation :

  1. Protection automatique via Windows Defender
  2. Utiliser Microsoft Defender Offline pour analyse approfondie

Valeur par défaut : Enabled État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S1.3.3 — Analyse des fichiers de démarrage

Niveau : 🔴 Référence CIS : CIS Defender 1.13 MITRE ATT&CK : T1547

Description : Surveille et analyse les fichiers et registres de démarrage automatique pour détecter la persistance malveillante.

Vérification :

  • PowerShell: Get-CimInstance Win32_StartupCommand
  • Registre: Surveillance des clés de démarrage automatique

Remédiation :

  1. Configuration automatique via la protection en temps réel
  2. Audit manuel avec msconfig ou autoruns

Valeur par défaut : Enabled État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S1.3.4 — Protection de l’intégrité des processus système

Niveau : 🔴 Référence CIS : CIS Defender 1.14 MITRE ATT&CK : T1055

Description : Protège les processus système critiques contre l’injection de code et la manipulation malveillante.

Vérification :

  • PowerShell: Get-ProcessMitigation -System
  • Protection intégrée dans Windows Defender et Exploit Protection

Remédiation :

  1. Configuration via Exploit Protection (Section S9)
  2. Set-ProcessMitigation -System -Enable DEP,SEHOP,ASLR

Valeur par défaut : Partially enabled État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S1.3.5 — Surveillance des connexions réseau suspectes

Niveau : 🟠 Référence CIS : CIS Defender 1.15 MITRE ATT&CK : T1071

Description : Surveille les connexions réseau établies par les processus pour détecter les communications malveillantes.

Vérification :

  • PowerShell: Get-NetTCPConnection | Where-Object {BEGIN___COMMAND_OUTPUT_MARKER.State -eq ‘Established’}
  • Intégré dans Network Protection et Defender for Endpoint

Remédiation :

  1. Activer Network Protection (Section S7)
  2. Déployer Defender for Endpoint pour surveillance avancée

Valeur par défaut : Basic monitoring État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S1.4.1 — Gestion des faux positifs en temps réel

Niveau : 🟡 Référence CIS : CIS Defender 1.16 MITRE ATT&CK : N/A

Description : Configure la gestion automatisée des faux positifs pour réduire les interruptions tout en maintenant la sécurité.

Vérification :

  • PowerShell: Get-MpThreatDetection | Where-Object {BEGIN___COMMAND_OUTPUT_MARKER.ThreatName -like ‘False’}
  • Event Viewer: Microsoft-Windows-Windows Defender/Operational

Remédiation :

  1. Configurer les exclusions appropriées (Section S5)
  2. Utiliser Microsoft Security Intelligence pour rapporter les faux positifs

Valeur par défaut : Manual review required État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S1.4.2 — Notification des détections en temps réel

Niveau : 🟡 Référence CIS : CIS Defender 1.17 MITRE ATT&CK : N/A

Description : Configure les notifications utilisateur et administrateur pour les détections de menaces en temps réel.

Vérification :

  • PowerShell: Get-MpPreference | Select-Object -Property DisableRealtimeMonitoring,UILockdown
  • Windows Security Center notifications

Remédiation :

  1. Configuration via Windows Security Center
  2. GPO: Configure local setting override for reporting to Microsoft MAPS = Disabled

Valeur par défaut : Enabled for users État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S1.4.3 — Intégration avec SIEM pour temps réel

Niveau : 🟡 Référence CIS : CIS Defender 1.18 MITRE ATT&CK : N/A

Description : Configure l’envoi des événements de détection en temps réel vers les solutions SIEM pour corrélation centralisée.

Vérification :

  • PowerShell: Get-WinEvent -ListLog Defender | Select-Object LogName,IsEnabled
  • Event Viewer: Forwarded Events

Remédiation :

  1. Configurer Windows Event Forwarding (WEF)
  2. wecutil es Microsoft-Windows-Windows-Defender%4Operational

Valeur par défaut : Disabled État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S1.4.4 — Performance de la protection temps réel

Niveau : 🟡 Référence CIS : CIS Defender 1.19 MITRE ATT&CK : N/A

Description : Surveille et optimise les performances de la protection en temps réel pour éviter l’impact sur la productivité.

Vérification :

  • PowerShell: Get-MpComputerStatus | Select-Object -Property Performance
  • Performance Monitor: Windows Defender counters

Remédiation :

  1. Ajuster ScanAvgCPULoadFactor
  2. Optimiser les exclusions (Section S5)

Valeur par défaut : Balanced État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S1.4.5 — Audit de la protection temps réel

Niveau : 🟠 Référence CIS : CIS Defender 1.20 MITRE ATT&CK : N/A

Description : Maintient un audit complet de l’activité de protection en temps réel pour analyse post-incident et conformité.

Vérification :

  • PowerShell: Get-WinEvent -FilterHashtable @{LogName=‘Microsoft-Windows-Windows Defender/Operational’}
  • Event retention policy configuration

Remédiation :

  1. Configurer la rétention des logs à 90 jours minimum
  2. wevtutil sl Microsoft-Windows-Windows-Defender/Operational /ms:104857600

Valeur par défaut : 30 days État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S1.5.1 — Redémarrage automatique après détection

Niveau : 🟠 Référence CIS : CIS Defender 1.21 MITRE ATT&CK : T1562.001

Description : Configure le comportement de redémarrage automatique du système après détection et suppression de certaines menaces.

Vérification :

  • PowerShell: Get-MpPreference | Select-Object -Property DefaultAction
  • Registre: HKLM\SOFTWARE\Microsoft\Windows Defender\Threats\ThreatSeverityDefaultAction

Remédiation :

  1. Set-MpPreference -ThreatIDDefaultAction_Ids @(2,3,4,5) -ThreatIDDefaultAction_Actions @(‘Quarantine’,‘Quarantine’,‘Quarantine’,‘Quarantine’)
  2. GPO: Configure remediation for low/medium/high/severe threats

Valeur par défaut : Quarantine for most threats État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S1.5.2 — Protection des fichiers de configuration Defender

Niveau : 🔴 Référence CIS : CIS Defender 1.22 MITRE ATT&CK : T1562.001

Description : Protège les fichiers de configuration et bases de données de Microsoft Defender contre la modification malveillante.

Vérification :

  • PowerShell: Get-MpPreference | Select-Object -Property TamperProtection
  • Microsoft 365 Security Center: Tamper Protection status

Remédiation :

  1. Activer via Microsoft 365 Security Center (nécessite Defender for Endpoint)
  2. Configuration cloud-managed uniquement

Valeur par défaut : Enabled (with MDE) État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S1.5.3 — Surveillance de l’état des services Defender

Niveau : 🟠 Référence CIS : CIS Defender 1.23 MITRE ATT&CK : T1562.001

Description : Surveille en continu l’état des services Microsoft Defender pour détecter les tentatives de désactivation.

Vérification :

  • PowerShell: Get-Service -Name ‘WinDefend’,‘WdNisSvc’,‘Sense’ | Select-Object Name,Status,StartType
  • Service status monitoring

Remédiation :

  1. Set-Service -Name WinDefend -StartupType Automatic
  2. Configurer la surveillance des services critiques

Valeur par défaut : Automatic startup État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S1.5.4 — Protection contre la désactivation par malware

Niveau : 🔴 Référence CIS : CIS Defender 1.24 MITRE ATT&CK : T1562.001

Description : Implémente des mesures de protection contre les tentatives de désactivation de Defender par des logiciels malveillants.

Vérification :

  • PowerShell: Get-MpComputerStatus | Select-Object AMEngineVersion,AntispywareEnabled,AntivirusEnabled
  • Tamper Protection status

Remédiation :

  1. Activer Tamper Protection via Defender for Endpoint
  2. Surveiller Event ID 5001 (service stopped) et 1150 (configuration changed)

Valeur par défaut : Basic protection État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S1.5.5 — Récupération automatique après corruption

Niveau : 🟠 Référence CIS : CIS Defender 1.25 MITRE ATT&CK : T1562.001

Description : Configure la récupération automatique de Microsoft Defender après corruption des fichiers ou configuration.

Vérification :

  • PowerShell: Get-MpComputerStatus | Select-Object ProductStatus,AMServiceEnabled
  • Health status verification

Remédiation :

  1. Update-MpSignature -UpdateSource MicrosoftUpdateServer
  2. Utiliser Microsoft Defender Offline pour récupération complète

Valeur par défaut : Manual recovery État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

SECTION S2 — PROTECTION CLOUD (MAPS)

Objectif : Configurer la protection cloud Microsoft Advanced Protection Service (MAPS) pour la détection proactive des menaces inconnues.

Contrôles : 20 | Criticité moyenne : 🔴 Critique

S2.1.1 — Activation du service MAPS

Niveau : 🔴 Référence CIS : CIS Defender 2.1 MITRE ATT&CK : T1562.001

Description : Active Microsoft Advanced Protection Service pour la détection cloud des menaces inconnues et la classification en temps réel.

Vérification :

  • PowerShell: Get-MpPreference | Select-Object -Property MAPSReporting
  • Registre: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet\SpynetReporting

Remédiation :

  1. Set-MpPreference -MAPSReporting Advanced
  2. GPO: Join Microsoft MAPS = Advanced Membership

Valeur par défaut : Basic État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S2.1.2 — Configuration du niveau de rapport MAPS

Niveau : 🔴 Référence CIS : CIS Defender 2.2 MITRE ATT&CK : T1071

Description : Configure le niveau de détail des rapports envoyés à MAPS pour optimiser la détection tout en respectant la confidentialité.

Vérification :

  • PowerShell: Get-MpPreference | Select-Object -Property MAPSReporting
  • Valeurs: 0=Disabled, 1=Basic, 2=Advanced

Remédiation :

  1. Set-MpPreference -MAPSReporting 2
  2. GPO: Configure the ‘Block at First Sight’ feature = Enabled

Valeur par défaut : Basic (1) État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S2.1.3 — Block at First Sight (BAFS)

Niveau : 🔴 Référence CIS : CIS Defender 2.3 MITRE ATT&CK : T1204

Description : Active le blocage immédiat des fichiers suspects avant même la réception des définitions de signatures.

Vérification :

  • PowerShell: Get-MpPreference | Select-Object -Property DisableBlockAtFirstSeen
  • Registre: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet\DisableBlockAtFirstSeen

Remédiation :

  1. Set-MpPreference -DisableBlockAtFirstSeen
  2. GPO: Configure the ‘Block at First Sight’ feature = Enabled

Valeur par défaut : Enabled État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S2.1.4 — Soumission automatique d’échantillons

Niveau : 🟠 Référence CIS : CIS Defender 2.4 MITRE ATT&CK : T1005

Description : Configure la soumission automatique d’échantillons de fichiers suspects à Microsoft pour analyse approfondie.

Vérification :

  • PowerShell: Get-MpPreference | Select-Object -Property SubmitSamplesConsent
  • Registre: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet\SubmitSamplesConsent

Remédiation :

  1. Set-MpPreference -SubmitSamplesConsent SendSafeSamples
  2. GPO: Send file samples when further analysis is required = Send safe samples automatically

Valeur par défaut : Always prompt État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S2.1.5 — Délai d’attente cloud étendu

Niveau : 🟠 Référence CIS : CIS Defender 2.5 MITRE ATT&CK : T1071

Description : Configure un délai d’attente étendu pour les vérifications cloud afin d’améliorer la précision de détection.

Vérification :

  • PowerShell: Get-MpPreference | Select-Object -Property CloudExtendedTimeout
  • Registre: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\MpEngine\MpCloudBlockLevel

Remédiation :

  1. Set-MpPreference -CloudExtendedTimeout 50
  2. GPO: Configure extended cloud check timeout period = 50 seconds

Valeur par défaut : 10 seconds État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S2.2.1 — Niveau de blocage cloud

Niveau : 🟠 Référence CIS : CIS Defender 2.6 MITRE ATT&CK : T1204

Description : Configure le niveau d’agressivité du blocage cloud pour équilibrer sécurité et faux positifs.

Vérification :

  • PowerShell: Get-MpPreference | Select-Object -Property CloudBlockLevel
  • Valeurs: 0=Default, 1=Moderate, 2=High, 4=HighPlus, 6=ZeroTolerance

Remédiation :

  1. Set-MpPreference -CloudBlockLevel 2
  2. GPO: Select cloud protection level = High blocking level

Valeur par défaut : Default (0) État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S2.2.2 — Protection renforcée contre les PUA

Niveau : 🟡 Référence CIS : CIS Defender 2.7 MITRE ATT&CK : T1566.001

Description : Active la détection cloud renforcée des applications potentiellement indésirables (PUA) via l’intelligence Microsoft.

Vérification :

  • PowerShell: Get-MpPreference | Select-Object -Property PUAProtection
  • Registre: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\PUAProtection

Remédiation :

  1. Set-MpPreference -PUAProtection Enabled
  2. GPO: Configure detection for potentially unwanted applications = Enabled

Valeur par défaut : Disabled État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S2.2.3 — Analyse comportementale cloud

Niveau : 🟠 Référence CIS : CIS Defender 2.8 MITRE ATT&CK : T1055

Description : Active l’analyse comportementale cloud pour détecter les menaces basées sur les patterns de comportement.

Vérification :

  • PowerShell: Get-MpPreference | Select-Object -Property DisableBehaviorMonitoring
  • Intégration automatique avec MAPS Advanced

Remédiation :

  1. Assurez-vous que MAPS est en mode Advanced
  2. Set-MpPreference -DisableBehaviorMonitoring

Valeur par défaut : Enabled with MAPS Advanced État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S2.2.4 — Classification des menaces en temps réel

Niveau : 🟠 Référence CIS : CIS Defender 2.9 MITRE ATT&CK : T1071

Description : Utilise l’intelligence cloud pour classifier les menaces en temps réel et adapter la réponse automatique.

Vérification :

  • PowerShell: Get-MpThreatDetection | Select-Object ThreatName,Resources,ProcessName
  • Cloud threat intelligence integration

Remédiation :

  1. Configuration automatique via MAPS Advanced
  2. Vérifier la connectivité cloud régulièrement

Valeur par défaut : Automatic with MAPS État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S2.2.5 — Réputation des fichiers et URLs

Niveau : 🟠 Référence CIS : CIS Defender 2.10 MITRE ATT&CK : T1566

Description : Utilise la base de données de réputation Microsoft pour évaluer la fiabilité des fichiers et URLs en temps réel.

Vérification :

  • PowerShell: Intégré dans la protection en temps réel
  • SmartScreen integration pour URLs

Remédiation :

  1. Activer SmartScreen (Section S7)
  2. Maintenir MAPS en mode Advanced

Valeur par défaut : Enabled with cloud protection État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S2.3.1 — Connectivité cloud sécurisée

Niveau : 🔴 Référence CIS : CIS Defender 2.11 MITRE ATT&CK : T1071

Description : Assure la connectivité sécurisée vers les services cloud Microsoft pour les mises à jour et vérifications en temps réel.

Vérification :

  • PowerShell: Test-NetConnection -ComputerName wdcp.microsoft.com -Port 443
  • Connectivité vers *.smartscreen.microsoft.com

Remédiation :

  1. Configurer le proxy si nécessaire
  2. Ouvrir les ports requis (443, 80) vers les domaines Microsoft

Valeur par défaut : Direct connection État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S2.3.2 — Configuration proxy pour MAPS

Niveau : 🟡 Référence CIS : CIS Defender 2.12 MITRE ATT&CK : T1071

Description : Configure l’utilisation de proxy d’entreprise pour les communications cloud tout en maintenant la sécurité.

Vérification :

  • PowerShell: Get-MpPreference | Select-Object -Property ProxyServer,ProxyPacUrl
  • netsh winhttp show proxy

Remédiation :

  1. Set-MpPreference -ProxyServer ‘http://proxy.domain.com:8080
  2. Configurer l’authentification proxy si nécessaire

Valeur par défaut : Use system proxy settings État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S2.3.3 — Gestion des certificats cloud

Niveau : 🟡 Référence CIS : CIS Defender 2.13 MITRE ATT&CK : T1553.004

Description : Vérifie l’intégrité des certificats SSL/TLS pour les communications cloud et gère les révocations.

Vérification :

  • PowerShell: Vérification automatique intégrée
  • Certificate store validation

Remédiation :

  1. Maintenir les CA racines Microsoft à jour
  2. Configurer la vérification CRL/OCSP

Valeur par défaut : Automatic validation État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S2.3.4 — Surveillance des performances cloud

Niveau : 🟡 Référence CIS : CIS Defender 2.14 MITRE ATT&CK : N/A

Description : Surveille les performances des requêtes cloud pour optimiser les temps de réponse et la disponibilité.

Vérification :

  • PowerShell: Get-MpComputerStatus | Select-Object Cloud
  • Performance counters pour Defender

Remédiation :

  1. Ajuster CloudExtendedTimeout selon les performances réseau
  2. Optimiser la configuration proxy

Valeur par défaut : Standard timeout État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S2.3.5 — Fallback en cas d’indisponibilité cloud

Niveau : 🟠 Référence CIS : CIS Defender 2.15 MITRE ATT&CK : T1562.001

Description : Configure le comportement de fallback local quand les services cloud ne sont pas disponibles.

Vérification :

  • PowerShell: Configuration automatique intégrée
  • Local signature fallback behavior

Remédiation :

  1. Maintenir les signatures locales à jour
  2. Configuration automatique, pas d’action manuelle requise

Valeur par défaut : Automatic local fallback État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S2.4.1 — Audit des soumissions cloud

Niveau : 🟡 Référence CIS : CIS Defender 2.16 MITRE ATT&CK : N/A

Description : Maintient un audit des fichiers soumis au cloud pour analyse et respect des politiques de confidentialité.

Vérification :

  • PowerShell: Get-WinEvent -FilterHashtable @{LogName=‘Microsoft-Windows-Windows Defender/Operational’; ID=1118}
  • Event ID 1118 pour sample submission

Remédiation :

  1. Configurer la rétention des logs appropriée
  2. Surveiller les soumissions via Event Viewer

Valeur par défaut : Basic logging État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S2.4.2 — Protection des données sensibles

Niveau : 🟠 Référence CIS : CIS Defender 2.17 MITRE ATT&CK : T1005

Description : Implémente la protection des données sensibles pour éviter leur soumission non autorisée au cloud.

Vérification :

  • PowerShell: Get-MpPreference | Select-Object -Property SubmitSamplesConsent
  • Data Loss Prevention integration

Remédiation :

  1. Set-MpPreference -SubmitSamplesConsent SendSafeSamples
  2. Configurer les exclusions pour données sensibles

Valeur par défaut : Prompt before sending État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S2.4.3 — Conformité réglementaire cloud

Niveau : 🟡 Référence CIS : CIS Defender 2.18 MITRE ATT&CK : N/A

Description : Assure la conformité avec les réglementations locales concernant le transfert de données vers le cloud Microsoft.

Vérification :

  • Documentation: Révision des contrats Microsoft MAPS
  • Compliance documentation review

Remédiation :

  1. Réviser les accords de traitement des données Microsoft
  2. Configurer selon les exigences réglementaires locales

Valeur par défaut : Standard Microsoft terms État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S2.4.4 — Intégration SIEM pour événements cloud

Niveau : 🟡 Référence CIS : CIS Defender 2.19 MITRE ATT&CK : N/A

Description : Configure l’intégration SIEM pour collecter et analyser les événements liés aux interactions cloud.

Vérification :

  • PowerShell: Get-WinEvent -ListLog Defender | Where-Object {BEGIN___COMMAND_OUTPUT_MARKER.RecordCount -gt 0}
  • SIEM connector configuration

Remédiation :

  1. Configurer Windows Event Forwarding
  2. Filtrer les Event ID pertinents (1116, 1117, 1118, 1119)

Valeur par défaut : Local logging only État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S2.4.5 — Optimisation continue de la protection cloud

Niveau : 🟢 Référence CIS : CIS Defender 2.20 MITRE ATT&CK : N/A

Description : Processus d’optimisation continue des paramètres cloud basé sur l’analyse des performances et détections.

Vérification :

  • PowerShell: Get-MpComputerStatus | Select-Object Signature,Engine
  • Regular performance analysis

Remédiation :

  1. Révision mensuelle des paramètres cloud
  2. Ajustement basé sur les métriques de performance

Valeur par défaut : Manual optimization État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

SECTION S3 — MISES À JOUR DES DÉFINITIONS

Objectif : Assurer la mise à jour continue et efficace des signatures antivirus et du moteur de détection Microsoft Defender.

Contrôles : 20 | Criticité moyenne : 🔴 Critique

S3.1.1 — Fréquence des mises à jour automatiques

Niveau : 🔴 Référence CIS : CIS Defender 3.1 MITRE ATT&CK : T1562.001

Description : Configure la fréquence optimale des mises à jour automatiques des définitions pour maintenir une protection maximale.

Vérification :

  • PowerShell: Get-MpPreference | Select-Object -Property SignatureUpdateInterval
  • Registre: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Signature Updates\SignatureUpdateInterval

Remédiation :

  1. Set-MpPreference -SignatureUpdateInterval 1
  2. GPO: Define the number of hours to check for definition updates = 1 hour

Valeur par défaut : 8 hours État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S3.1.2 — Source primaire de mise à jour

Niveau : 🔴 Référence CIS : CIS Defender 3.2 MITRE ATT&CK : T1071

Description : Configure la source primaire fiable pour les mises à jour de définitions antivirus (Microsoft Update, WSUS, etc.).

Vérification :

  • PowerShell: Get-MpPreference | Select-Object -Property SignatureDefinitionUpdateFileSharesSources
  • Windows Update configuration

Remédiation :

  1. Set-MpPreference -SignatureDefinitionUpdateFileSharesSources ‘MicrosoftUpdateServer’
  2. GPO: Define file shares for downloading definition updates

Valeur par défaut : Microsoft Update Server État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S3.1.3 — Sources de fallback configurées

Niveau : 🟠 Référence CIS : CIS Defender 3.3 MITRE ATT&CK : T1071

Description : Configure les sources de secours pour les mises à jour en cas d’indisponibilité de la source primaire.

Vérification :

  • PowerShell: Get-MpPreference | Select-Object -Property SignatureFallbackOrder
  • Multiple update sources configuration

Remédiation :

  1. Set-MpPreference -SignatureFallbackOrder ‘MicrosoftUpdateServer|MMPC|FileShares’
  2. GPO: Define the order of sources for downloading definition updates

Valeur par défaut : Microsoft Update only État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S3.1.4 — Mise à jour au démarrage du système

Niveau : 🟠 Référence CIS : CIS Defender 3.4 MITRE ATT&CK : T1547

Description : Force la vérification et mise à jour des définitions lors du démarrage système pour assurer la protection immédiate.

Vérification :

  • PowerShell: Get-MpPreference | Select-Object -Property CheckForSignaturesBeforeRunningScan
  • Startup signature update policy

Remédiation :

  1. Set-MpPreference -CheckForSignaturesBeforeRunningScan
  2. GPO: Check for the latest virus and spyware definitions on startup = Enabled

Valeur par défaut : Enabled État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S3.1.5 — Mise à jour différentielle optimisée

Niveau : 🟡 Référence CIS : CIS Defender 3.5 MITRE ATT&CK : N/A

Description : Active les mises à jour différentielles pour réduire la bande passante tout en maintenant la rapidité d’update.

Vérification :

  • PowerShell: Configuration automatique intégrée
  • Differential update mechanism

Remédiation :

  1. Configuration automatique par Microsoft Update
  2. Pas de paramétrage manuel requis

Valeur par défaut : Enabled automatically État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S3.2.1 — Mise à jour du moteur antivirus

Niveau : 🔴 Référence CIS : CIS Defender 3.6 MITRE ATT&CK : T1562.001

Description : Assure la mise à jour régulière du moteur antivirus Microsoft Defender pour supporter les nouvelles techniques de détection.

Vérification :

  • PowerShell: Get-MpComputerStatus | Select-Object -Property AMEngineVersion
  • Engine version check against latest

Remédiation :

  1. Update-MpSignature -UpdateSource MicrosoftUpdateServer
  2. Configuration automatique via Windows Update

Valeur par défaut : Automatic with Windows Update État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S3.2.2 — Mise à jour de la plateforme Defender

Niveau : 🔴 Référence CIS : CIS Defender 3.7 MITRE ATT&CK : T1562.001

Description : Maintient la plateforme Microsoft Defender à jour pour bénéficier des dernières fonctionnalités et corrections de sécurité.

Vérification :

  • PowerShell: Get-MpComputerStatus | Select-Object -Property AMProductVersion
  • Platform version comparison

Remédiation :

  1. Configuration automatique via Windows Update
  2. Manual: Update-MpSignature pour forcer la vérification

Valeur par défaut : Automatic with Windows Update État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S3.2.3 — Synchronisation des signatures réseau

Niveau : 🟠 Référence CIS : CIS Defender 3.8 MITRE ATT&CK : T1071

Description : Configure la synchronisation réseau des signatures pour les environnements déconnectés ou à bande passante limitée.

Vérification :

  • PowerShell: Get-MpPreference | Select-Object -Property SignatureDefinitionUpdateFileSharesSources
  • Network share configuration

Remédiation :

  1. Set-MpPreference -SignatureDefinitionUpdateFileSharesSources ‘\server\defender-updates’
  2. GPO: Define file shares for downloading definition updates

Valeur par défaut : Direct Microsoft servers État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S3.2.4 — Validation de l’intégrité des signatures

Niveau : 🟠 Référence CIS : CIS Defender 3.9 MITRE ATT&CK : T1553.004

Description : Vérifie l’intégrité cryptographique des signatures téléchargées pour éviter les signatures compromises.

Vérification :

  • PowerShell: Vérification automatique intégrée
  • Signature validation process

Remédiation :

  1. Configuration automatique par Windows Defender
  2. Surveillance des échecs de validation dans Event Viewer

Valeur par défaut : Automatic validation État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S3.2.5 — Rollback des signatures défaillantes

Niveau : 🟡 Référence CIS : CIS Defender 3.10 MITRE ATT&CK : T1562.001

Description : Configure la capacité de rollback automatique vers des signatures stables en cas de problème avec une mise à jour.

Vérification :

  • PowerShell: Get-MpComputerStatus | Select-Object -Property Signature
  • Rollback mechanism status

Remédiation :

  1. Configuration automatique intégrée
  2. Manual: Update-MpSignature -UpdateSource FallbackOrder

Valeur par défaut : Automatic rollback enabled État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S3.3.1 — Programmation des vérifications de mise à jour

Niveau : 🟠 Référence CIS : CIS Defender 3.11 MITRE ATT&CK : N/A

Description : Programme les vérifications régulières de mises à jour à des heures optimales pour minimiser l’impact performance.

Vérification :

  • PowerShell: Get-MpPreference | Select-Object -Property Update
  • Task Scheduler: Windows Defender tasks

Remédiation :

  1. Configuration via GPO ou Intune pour heures creuses
  2. Utiliser Task Scheduler pour personnalisation avancée

Valeur par défaut : Every 8 hours État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S3.3.2 — Gestion de la bande passante pour les mises à jour

Niveau : 🟡 Référence CIS : CIS Defender 3.12 MITRE ATT&CK : N/A

Description : Configure la limitation de bande passante pour les mises à jour afin de ne pas impacter les activités critiques.

Vérification :

  • PowerShell: Get-MpPreference | Select-Object -Property Bandwidth
  • BITS configuration for updates

Remédiation :

  1. Configuration via BITS (Background Intelligent Transfer Service)
  2. GPO: Configure BITS bandwidth throttling

Valeur par défaut : No bandwidth limitation État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S3.3.3 — Notification des échecs de mise à jour

Niveau : 🟠 Référence CIS : CIS Defender 3.13 MITRE ATT&CK : N/A

Description : Configure les notifications automatiques en cas d’échec des mises à jour pour intervention rapide.

Vérification :

  • PowerShell: Get-WinEvent -FilterHashtable @{LogName=‘Microsoft-Windows-Windows Defender/Operational’; ID=2001}
  • Event ID 2001 pour update failures

Remédiation :

  1. Configurer les alertes Event Viewer
  2. Intégration SIEM pour notifications centralisées

Valeur par défaut : Event logging only État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S3.3.4 — Mise à jour prioritaire en cas de menace émergente

Niveau : 🔴 Référence CIS : CIS Defender 3.14 MITRE ATT&CK : T1562.001

Description : Active les mises à jour prioritaires en cas de menaces émergentes critiques signalées par Microsoft.

Vérification :

  • PowerShell: Configuration automatique avec MAPS Advanced
  • Emergency signature updates

Remédiation :

  1. Maintenir MAPS en mode Advanced
  2. Assurer la connectivité cloud permanente

Valeur par défaut : Enabled with MAPS Advanced État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S3.3.5 — Historique des versions de signatures

Niveau : 🟡 Référence CIS : CIS Defender 3.15 MITRE ATT&CK : N/A

Description : Maintient un historique des versions de signatures installées pour traçabilité et dépannage.

Vérification :

  • PowerShell: Get-MpComputerStatus | Select-Object Signature
  • Event Viewer: Signature update history

Remédiation :

  1. Configuration automatique des logs Windows
  2. Rétention des événements sur 90 jours minimum

Valeur par défaut : 30 days retention État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S3.4.1 — Cache local des signatures

Niveau : 🟡 Référence CIS : CIS Defender 3.16 MITRE ATT&CK : N/A

Description : Configure un cache local efficace des signatures pour réduire les téléchargements répétitifs.

Vérification :

  • PowerShell: Get-ChildItem ‘C:\ProgramData\Microsoft\Windows Defender\Definition Updates’
  • Local cache directory inspection

Remédiation :

  1. Configuration automatique par Windows Defender
  2. Surveiller l’espace disque disponible

Valeur par défaut : Automatic caching État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S3.4.2 — Nettoyage automatique des anciennes signatures

Niveau : 🟡 Référence CIS : CIS Defender 3.17 MITRE ATT&CK : N/A

Description : Configure le nettoyage automatique des anciennes signatures pour optimiser l’espace disque.

Vérification :

  • PowerShell: Get-MpPreference | Select-Object -Property ScanPurgeItemsAfterDelay
  • Automatic cleanup configuration

Remédiation :

  1. Set-MpPreference -ScanPurgeItemsAfterDelay 30
  2. Configuration automatique du nettoyage

Valeur par défaut : 30 days État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S3.4.3 — Surveillance de l’espace disque pour signatures

Niveau : 🟡 Référence CIS : CIS Defender 3.18 MITRE ATT&CK : N/A

Description : Surveille l’espace disque disponible pour éviter les échecs de mise à jour dus au manque d’espace.

Vérification :

  • PowerShell: Get-PSDrive C | Select-Object Used,Free
  • Disk space monitoring for definition updates

Remédiation :

  1. Configurer des alertes d’espace disque
  2. Planifier le nettoyage régulier

Valeur par défaut : No specific monitoring État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S3.4.4 — Intégration avec la gestion des correctifs

Niveau : 🟠 Référence CIS : CIS Defender 3.19 MITRE ATT&CK : N/A

Description : Intègre les mises à jour Defender avec la stratégie globale de gestion des correctifs de l’organisation.

Vérification :

  • WSUS/SCCM: Configuration des mises à jour Defender
  • Update management integration

Remédiation :

  1. Configurer WSUS pour inclure les mises à jour Defender
  2. Coordonner avec l’équipe de gestion des correctifs

Valeur par défaut : Independent update process État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S3.4.5 — Métriques de performance des mises à jour

Niveau : 🟢 Référence CIS : CIS Defender 3.20 MITRE ATT&CK : N/A

Description : Collecte et analyse les métriques de performance des mises à jour pour optimisation continue.

Vérification :

  • PowerShell: Get-MpComputerStatus | Select-Object Update,Age
  • Performance metrics collection

Remédiation :

  1. Établir des SLA pour les mises à jour
  2. Surveillance continue des performances

Valeur par défaut : Basic metrics only État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

SECTION S6 — RÈGLES DE RÉDUCTION DE SURFACE D’ATTAQUE (ASR)

Objectif : Configurer et déployer l’ensemble complet des règles Attack Surface Reduction pour bloquer les vecteurs d’attaque courants.

Contrôles : 35 | Criticité moyenne : 🔴 Critique

S6.1.1 — Règle ASR: Bloquer l’exécutable créé par commandes Office

Niveau : 🔴 Référence CIS : CIS Defender 6.1 MITRE ATT&CK : T1566.001

GUID ASR : BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550

Description : Bloque la création et l’exécution d’exécutables par les applications Microsoft Office pour prévenir les macros malveillantes.

Vérification :

  • PowerShell: Get-MpPreference | Select-Object -ExpandProperty AttackSurfaceReductionRules_Ids
  • Registre: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\ASR\Rules

Remédiation :

  1. Add-MpPreference -AttackSurfaceReductionRules_Ids BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550 -AttackSurfaceReductionRules_Actions Enabled
  2. GPO: Windows Defender Exploit Guard > Attack Surface Reduction > BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550 = Block
  3. Intune: Endpoint Security > Attack Surface Reduction rules

Valeur par défaut : Not configured État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S6.1.2 — Règle ASR: Bloquer Office créant des processus enfants

Niveau : 🔴 Référence CIS : CIS Defender 6.2 MITRE ATT&CK : T1566.001

GUID ASR : D4F940AB-401B-4EFC-AADC-AD5F3C50688A

Description : Empêche les applications Office de créer des processus enfants, technique couramment utilisée par les malwares.

Vérification :

  • PowerShell: Get-MpPreference | Select-Object -ExpandProperty AttackSurfaceReductionRules_Ids
  • Vérifier la présence du GUID D4F940AB-401B-4EFC-AADC-AD5F3C50688A

Remédiation :

  1. Add-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EFC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions Enabled
  2. GPO: ASR Rules > D4F940AB-401B-4EFC-AADC-AD5F3C50688A = Block

Valeur par défaut : Not configured État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S6.1.3 — Règle ASR: Bloquer injection dans processus Office

Niveau : 🔴 Référence CIS : CIS Defender 6.3 MITRE ATT&CK : T1055

GUID ASR : 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84

Description : Bloque l’injection de code dans les processus Microsoft Office pour prévenir la compromission des applications légitimes.

Vérification :

  • PowerShell: Get-MpPreference | Select-Object -ExpandProperty AttackSurfaceReductionRules_Ids
  • Rechercher le GUID 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84

Remédiation :

  1. Add-MpPreference -AttackSurfaceReductionRules_Ids 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84 -AttackSurfaceReductionRules_Actions Enabled
  2. GPO: ASR Rules > 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84 = Block

Valeur par défaut : Not configured État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S6.1.4 — Règle ASR: Bloquer JavaScript/VBScript dans Office

Niveau : 🔴 Référence CIS : CIS Defender 6.4 MITRE ATT&CK : T1059.007

GUID ASR : 3B576869-A4EC-4529-8536-B80A7769E899

Description : Empêche l’exécution de JavaScript et VBScript lancés par Microsoft Office pour bloquer les scripts malveillants.

Vérification :

  • PowerShell: Get-MpPreference | Select-Object -ExpandProperty AttackSurfaceReductionRules_Ids
  • Vérifier 3B576869-A4EC-4529-8536-B80A7769E899

Remédiation :

  1. Add-MpPreference -AttackSurfaceReductionRules_Ids 3B576869-A4EC-4529-8536-B80A7769E899 -AttackSurfaceReductionRules_Actions Enabled
  2. GPO: ASR Rules > 3B576869-A4EC-4529-8536-B80A7769E899 = Block

Valeur par défaut : Not configured État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S6.1.5 — Règle ASR: Bloquer macros Office avec contenu Web

Niveau : 🔴 Référence CIS : CIS Defender 6.5 MITRE ATT&CK : T1566.001

GUID ASR : 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B

Description : Bloque l’exécution de macros Office qui téléchargent du contenu depuis Internet pour prévenir les attaques par documents malveillants.

Vérification :

  • PowerShell: Get-MpPreference | Select-Object -ExpandProperty AttackSurfaceReductionRules_Ids
  • Confirmer 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B

Remédiation :

  1. Add-MpPreference -AttackSurfaceReductionRules_Ids 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B -AttackSurfaceReductionRules_Actions Enabled
  2. GPO: ASR Rules > 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B = Block

Valeur par défaut : Not configured État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S6.2.1 — Règle ASR: Bloquer exécutables suspects d’email

Niveau : 🔴 Référence CIS : CIS Defender 6.6 MITRE ATT&CK : T1566.001

GUID ASR : BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46551

Description : Bloque l’exécution d’exécutables provenant de clients email et webmail pour prévenir les attaques par pièces jointes.

Vérification :

  • PowerShell: Get-MpPreference | Select-Object -ExpandProperty AttackSurfaceReductionRules_Ids
  • Localiser BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46551

Remédiation :

  1. Add-MpPreference -AttackSurfaceReductionRules_Ids BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46551 -AttackSurfaceReductionRules_Actions Enabled
  2. GPO: ASR Rules > BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46551 = Block

Valeur par défaut : Not configured État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S6.2.2 — Règle ASR: Bloquer vol de credentials Windows LSASS

Niveau : 🔴 Référence CIS : CIS Defender 6.7 MITRE ATT&CK : T1003.001

GUID ASR : 9E6C4E1F-7D60-472F-BA1A-A39EF669E4B2

Description : Protège le processus LSASS contre les tentatives de vol de credentials par des outils comme Mimikatz.

Vérification :

  • PowerShell: Get-MpPreference | Select-Object -ExpandProperty AttackSurfaceReductionRules_Ids
  • Vérifier 9E6C4E1F-7D60-472F-BA1A-A39EF669E4B2

Remédiation :

  1. Add-MpPreference -AttackSurfaceReductionRules_Ids 9E6C4E1F-7D60-472F-BA1A-A39EF669E4B2 -AttackSurfaceReductionRules_Actions Enabled
  2. GPO: ASR Rules > 9E6C4E1F-7D60-472F-BA1A-A39EF669E4B2 = Block

Valeur par défaut : Not configured État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S6.2.3 — Règle ASR: Bloquer création processus via WMI

Niveau : 🟠 Référence CIS : CIS Defender 6.8 MITRE ATT&CK : T1047

GUID ASR : D1E49AAC-8F56-4280-B9BA-993A6D77406C

Description : Bloque la création de processus via les commandes WMI pour prévenir l’exécution de code à distance malveillant.

Vérification :

  • PowerShell: Get-MpPreference | Select-Object -ExpandProperty AttackSurfaceReductionRules_Ids
  • Localiser D1E49AAC-8F56-4280-B9BA-993A6D77406C

Remédiation :

  1. Add-MpPreference -AttackSurfaceReductionRules_Ids D1E49AAC-8F56-4280-B9BA-993A6D77406C -AttackSurfaceReductionRules_Actions Enabled
  2. GPO: ASR Rules > D1E49AAC-8F56-4280-B9BA-993A6D77406C = Block

Valeur par défaut : Not configured État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S6.2.4 — Règle ASR: Bloquer processus non signés via USB

Niveau : 🟠 Référence CIS : CIS Defender 6.9 MITRE ATT&CK : T1091

GUID ASR : B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4

Description : Bloque l’exécution de processus non signés ou de confiance faible depuis des lecteurs USB amovibles.

Vérification :

  • PowerShell: Get-MpPreference | Select-Object -ExpandProperty AttackSurfaceReductionRules_Ids
  • Vérifier B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4

Remédiation :

  1. Add-MpPreference -AttackSurfaceReductionRules_Ids B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4 -AttackSurfaceReductionRules_Actions Enabled
  2. GPO: ASR Rules > B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4 = Block

Valeur par défaut : Not configured État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S6.2.5 — Règle ASR: Bloquer scripts obfusqués suspects

Niveau : 🔴 Référence CIS : CIS Defender 6.10 MITRE ATT&CK : T1027

GUID ASR : 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC

Description : Bloque l’exécution de scripts JavaScript, VBScript et PowerShell obfusqués ou suspects.

Vérification :

  • PowerShell: Get-MpPreference | Select-Object -ExpandProperty AttackSurfaceReductionRules_Ids
  • Confirmer 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC

Remédiation :

  1. Add-MpPreference -AttackSurfaceReductionRules_Ids 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC -AttackSurfaceReductionRules_Actions Enabled
  2. GPO: ASR Rules > 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC = Block

Valeur par défaut : Not configured État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S6.3.1 — Règle ASR: Bloquer injection dans processus système

Niveau : 🔴 Référence CIS : CIS Defender 6.11 MITRE ATT&CK : T1055

GUID ASR : 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84

Description : Empêche l’injection de code dans les processus système critiques pour maintenir l’intégrité du système.

Vérification :

  • PowerShell: Get-MpPreference | Select-Object -ExpandProperty AttackSurfaceReductionRules_Ids
  • Localiser 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84

Remédiation :

  1. Add-MpPreference -AttackSurfaceReductionRules_Ids 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84 -AttackSurfaceReductionRules_Actions Enabled
  2. GPO: ASR Rules > 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84 = Block

Valeur par défaut : Not configured État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S6.3.2 — Règle ASR: Bloquer téléchargements depuis navigateurs

Niveau : 🟠 Référence CIS : CIS Defender 6.12 MITRE ATT&CK : T1566.002

GUID ASR : D3E037E1-3EB8-44C8-A917-57927947596D

Description : Bloque l’exécution immédiate de fichiers téléchargés depuis les navigateurs web pour permettre l’analyse.

Vérification :

  • PowerShell: Get-MpPreference | Select-Object -ExpandProperty AttackSurfaceReductionRules_Ids
  • Vérifier D3E037E1-3EB8-44C8-A917-57927947596D

Remédiation :

  1. Add-MpPreference -AttackSurfaceReductionRules_Ids D3E037E1-3EB8-44C8-A917-57927947596D -AttackSurfaceReductionRules_Actions Enabled
  2. GPO: ASR Rules > D3E037E1-3EB8-44C8-A917-57927947596D = Block

Valeur par défaut : Not configured État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S6.3.3 — Règle ASR: Bloquer communications avec ransomware

Niveau : 🔴 Référence CIS : CIS Defender 6.13 MITRE ATT&CK : T1486

GUID ASR : C1DB55AB-C21A-4637-BB3F-A12568109D35

Description : Bloque les communications réseau typiques des ransomwares pour interrompre leur fonctionnement.

Vérification :

  • PowerShell: Get-MpPreference | Select-Object -ExpandProperty AttackSurfaceReductionRules_Ids
  • Confirmer C1DB55AB-C21A-4637-BB3F-A12568109D35

Remédiation :

  1. Add-MpPreference -AttackSurfaceReductionRules_Ids C1DB55AB-C21A-4637-BB3F-A12568109D35 -AttackSurfaceReductionRules_Actions Enabled
  2. GPO: ASR Rules > C1DB55AB-C21A-4637-BB3F-A12568109D35 = Block

Valeur par défaut : Not configured État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S6.3.4 — Règle ASR: Bloquer Adobe Reader processus enfants

Niveau : 🟠 Référence CIS : CIS Defender 6.14 MITRE ATT&CK : T1566.001

GUID ASR : 7674BA52-37EB-4A4F-A9A1-F0F9A1619A2C

Description : Empêche Adobe Reader de créer des processus enfants pour prévenir l’exploitation des vulnérabilités PDF.

Vérification :

  • PowerShell: Get-MpPreference | Select-Object -ExpandProperty AttackSurfaceReductionRules_Ids
  • Localiser 7674BA52-37EB-4A4F-A9A1-F0F9A1619A2C

Remédiation :

  1. Add-MpPreference -AttackSurfaceReductionRules_Ids 7674BA52-37EB-4A4F-A9A1-F0F9A1619A2C -AttackSurfaceReductionRules_Actions Enabled
  2. GPO: ASR Rules > 7674BA52-37EB-4A4F-A9A1-F0F9A1619A2C = Block

Valeur par défaut : Not configured État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S6.3.5 — Règle ASR: Bloquer persistance via WMI

Niveau : 🟠 Référence CIS : CIS Defender 6.15 MITRE ATT&CK : T1546.003

GUID ASR : E6DB77E5-3DF2-4CF1-B95A-636979351E5B

Description : Bloque l’utilisation de souscriptions d’événements WMI pour établir la persistance malveillante.

Vérification :

  • PowerShell: Get-MpPreference | Select-Object -ExpandProperty AttackSurfaceReductionRules_Ids
  • Vérifier E6DB77E5-3DF2-4CF1-B95A-636979351E5B

Remédiation :

  1. Add-MpPreference -AttackSurfaceReductionRules_Ids E6DB77E5-3DF2-4CF1-B95A-636979351E5B -AttackSurfaceReductionRules_Actions Enabled
  2. GPO: ASR Rules > E6DB77E5-3DF2-4CF1-B95A-636979351E5B = Block

Valeur par défaut : Not configured État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S6.4.1 — Configuration mode Audit vs Block

Niveau : 🟠 Référence CIS : CIS Defender 6.16 MITRE ATT&CK : N/A

Description : Configure le mode d’évaluation (Audit) vs production (Block) pour les règles ASR selon la maturité organisationnelle.

Vérification :

  • PowerShell: Get-MpPreference | Select-Object -ExpandProperty AttackSurfaceReductionRules_Actions
  • Valeurs: 0=Disabled, 1=Block, 2=Audit, 6=Warn

Remédiation :

  1. Phase 1 (Audit): Set-MpPreference -AttackSurfaceReductionRules_Actions AuditMode
  2. Phase 2 (Production): Set-MpPreference -AttackSurfaceReductionRules_Actions Enabled
  3. GPO: Configurer chaque règle individuellement

Valeur par défaut : Not configured État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S6.4.2 — Exclusions ASR documentées et justifiées

Niveau : 🟠 Référence CIS : CIS Defender 6.17 MITRE ATT&CK : N/A

Description : Maintient une liste documentée et justifiée des exclusions ASR pour les applications métier légitimes.

Vérification :

  • PowerShell: Get-MpPreference | Select-Object -ExpandProperty AttackSurfaceReductionOnlyExclusions
  • Documentation des exclusions avec justifications business

Remédiation :

  1. Add-MpPreference -AttackSurfaceReductionOnlyExclusions ‘C:\Program Files\Business App*’
  2. Maintenir un registre des exclusions avec approbations
  3. Révision trimestrielle des exclusions

Valeur par défaut : No exclusions État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S6.4.3 — Surveillance des déclenchements ASR

Niveau : 🟠 Référence CIS : CIS Defender 6.18 MITRE ATT&CK : N/A

Description : Surveille et analyse les déclenchements des règles ASR pour optimisation et détection d’attaques.

Vérification :

  • PowerShell: Get-WinEvent -FilterHashtable @{LogName=‘Microsoft-Windows-Windows Defender/Operational’; ID=1121,1122}
  • Event ID 1121 (ASR Block), 1122 (ASR Audit)

Remédiation :

  1. Configurer la collecte centralisée des événements ASR
  2. Établir des alertes pour déclenchements fréquents
  3. Analyse hebdomadaire des patterns

Valeur par défaut : Local logging only État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S6.4.4 — Intégration ASR avec SIEM

Niveau : 🟡 Référence CIS : CIS Defender 6.19 MITRE ATT&CK : N/A

Description : Intègre les événements ASR avec la solution SIEM pour corrélation avec d’autres événements de sécurité.

Vérification :

  • SIEM Configuration: Réception des Event ID 1121, 1122, 5007
  • Windows Event Forwarding configuration

Remédiation :

  1. Configurer WEF pour transférer les événements ASR
  2. Créer des règles de corrélation SIEM
  3. Dashboard de supervision ASR

Valeur par défaut : No SIEM integration État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S6.4.5 — Règle ASR: Bloquer exécution depuis dossiers système

Niveau : 🔴 Référence CIS : CIS Defender 6.20 MITRE ATT&CK : T1036.005

GUID ASR : 01443614-cd74-433a-b99e-2ecdc07bfc25

Description : Bloque l’exécution d’exécutables depuis des dossiers système non autorisés pour prévenir le masquerading.

Vérification :

  • PowerShell: Get-MpPreference | Select-Object -ExpandProperty AttackSurfaceReductionRules_Ids
  • Vérifier 01443614-cd74-433a-b99e-2ecdc07bfc25

Remédiation :

  1. Add-MpPreference -AttackSurfaceReductionRules_Ids 01443614-cd74-433a-b99e-2ecdc07bfc25 -AttackSurfaceReductionRules_Actions Enabled
  2. GPO: ASR Rules > 01443614-cd74-433a-b99e-2ecdc07bfc25 = Block

Valeur par défaut : Not configured État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S6.5.1 — Performance et impact des règles ASR

Niveau : 🟡 Référence CIS : CIS Defender 6.21 MITRE ATT&CK : N/A

Description : Évalue l’impact performance des règles ASR et optimise pour équilibrer sécurité et productivité.

Vérification :

  • PowerShell: Mesure des temps de démarrage et d’exécution d’applications
  • Performance counters Windows Defender

Remédiation :

  1. Baseline des performances avant activation ASR
  2. Monitoring continu post-déploiement
  3. Ajustement des exclusions si nécessaire

Valeur par défaut : No performance monitoring État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S6.5.2 — Tests de régression ASR

Niveau : 🟡 Référence CIS : CIS Defender 6.22 MITRE ATT&CK : N/A

Description : Effectue des tests de régression réguliers pour s’assurer que les règles ASR n’impactent pas les applications métier.

Vérification :

  • Test Environment: Validation des applications critiques
  • User Acceptance Testing results

Remédiation :

  1. Établir un environnement de test ASR
  2. Scripts de tests automatisés pour applications critiques
  3. Processus de validation avant mise en production

Valeur par défaut : No systematic testing État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S6.5.3 — Déploiement progressif des règles ASR

Niveau : 🟠 Référence CIS : CIS Defender 6.23 MITRE ATT&CK : N/A

Description : Implémente un déploiement progressif des règles ASR par phases pour minimiser les disruptions.

Vérification :

  • Deployment Phase Tracking: Audit > Warn > Block
  • Group Policy ou Intune ring deployment

Remédiation :

  1. Phase 1: Mode Audit sur groupe pilote (2 semaines)
  2. Phase 2: Mode Warn sur population élargie (2 semaines)
  3. Phase 3: Mode Block sur toute l’organisation

Valeur par défaut : No phased deployment État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S6.5.4 — Formation utilisateurs sur ASR

Niveau : 🟡 Référence CIS : CIS Defender 6.24 MITRE ATT&CK : N/A

Description : Forme les utilisateurs sur les impacts des règles ASR et les procédures d’escalade en cas de blocage légitime.

Vérification :

  • Training Completion Rate: Suivi des formations utilisateurs
  • Help Desk ticket trends related to ASR

Remédiation :

  1. Matériel de formation sur les nouvelles restrictions
  2. Procédures d’escalade pour demandes d’exclusion
  3. FAQ et documentation utilisateur

Valeur par défaut : No user training État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S6.5.5 — Métriques et reporting ASR

Niveau : 🟢 Référence CIS : CIS Defender 6.25 MITRE ATT&CK : N/A

Description : Établit des métriques et reporting régulier de l’efficacité et de l’impact des règles ASR.

Vérification :

  • Monthly ASR Reports: Nombre de blocages, exclusions, performances
  • Executive dashboard avec KPIs sécurité

Remédiation :

  1. Collecter métriques mensuelles ASR
  2. Reports executifs sur efficacité sécurité
  3. Recommandations d’optimisation basées sur données

Valeur par défaut : No systematic reporting État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

SECTION S4 — ANALYSES PROGRAMMÉES

Objectif : Configurer et optimiser les analyses antivirus programmées pour maintenir la sécurité sans impacter la productivité.

Contrôles : 20 | Criticité moyenne : 🟠 Élevé

S4.1.1 — Configuration de l’analyse complète hebdomadaire

Niveau : 🔴 Référence CIS : CIS Defender 4.1 MITRE ATT&CK : T1562.001

Description : Configure une analyse complète hebdomadaire automatique pour détecter les menaces persistantes et dormantes.

Vérification :

  • PowerShell: Get-MpPreference | Select-Object -Property ScanScheduleDay,ScanScheduleTime,ScanParameters
  • Task Scheduler: Microsoft\Windows\Windows Defender\Windows Defender Scheduled Scan

Remédiation :

  1. Set-MpPreference -ScanScheduleDay 0 -ScanScheduleTime 02:00:00 -ScanParameters 2
  2. GPO: Scan > Specify the scan type to use for a scheduled scan = Full scan
  3. Configurer pour dimanche 2h00 du matin

Valeur par défaut : Quick scan daily État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S4.1.2 — Analyse rapide quotidienne

Niveau : 🟠 Référence CIS : CIS Defender 4.2 MITRE ATT&CK : T1562.001

Description : Maintient une analyse rapide quotidienne pour détecter les menaces actives dans les emplacements critiques du système.

Vérification :

  • PowerShell: Get-MpPreference | Select-Object -Property ScanScheduleQuickScanTime
  • Daily quick scan configuration

Remédiation :

  1. Set-MpPreference -ScanScheduleQuickScanTime 12:00:00
  2. GPO: Specify the time for a daily quick scan = 12:00
  3. Programmer pendant les heures de faible activité

Valeur par défaut : 2:00 AM daily État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S4.1.3 — Limitation CPU pour analyses programmées

Niveau : 🟡 Référence CIS : CIS Defender 4.3 MITRE ATT&CK : N/A

Description : Configure la limitation d’utilisation CPU pendant les analyses pour préserver les performances système.

Vérification :

  • PowerShell: Get-MpPreference | Select-Object -Property ScanAvgCPULoadFactor
  • CPU usage limit configuration

Remédiation :

  1. Set-MpPreference -ScanAvgCPULoadFactor 30
  2. GPO: Specify the maximum percentage of CPU utilization during a scan = 30%
  3. Ajuster selon la charge de travail système

Valeur par défaut : 50% État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S4.1.4 — Analyse de rattrapage pour systèmes hors ligne

Niveau : 🟠 Référence CIS : CIS Defender 4.4 MITRE ATT&CK : N/A

Description : Active l’analyse de rattrapage automatique pour les systèmes qui étaient hors ligne pendant l’analyse programmée.

Vérification :

  • PowerShell: Get-MpPreference | Select-Object -Property DisableCatchupFullScan,DisableCatchupQuickScan
  • Catch-up scan configuration

Remédiation :

  1. Set-MpPreference -DisableCatchupFullScan -DisableCatchupQuickScan
  2. GPO: Start the scheduled scan only when computer is on but not in use = Disabled
  3. Permettre les analyses de rattrapage

Valeur par défaut : Enabled État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S4.1.5 — Analyse uniquement si inactif

Niveau : 🟡 Référence CIS : CIS Defender 4.5 MITRE ATT&CK : N/A

Description : Configure les analyses pour s’exécuter uniquement lorsque le système est inactif pour minimiser l’impact utilisateur.

Vérification :

  • PowerShell: Get-MpPreference | Select-Object -Property ScanOnlyIfIdleEnabled
  • Task Scheduler conditions for Defender scans

Remédiation :

  1. Set-MpPreference -ScanOnlyIfIdleEnabled
  2. GPO: Start the scheduled scan only when computer is on but not in use = Enabled
  3. Configurer seuil d’inactivité approprié

Valeur par défaut : Disabled État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S4.2.1 — Analyse des lecteurs réseau dans les scans programmés

Niveau : 🟡 Référence CIS : CIS Defender 4.6 MITRE ATT&CK : T1021.002

Description : Configure l’inclusion des lecteurs réseau mappés dans les analyses programmées selon les besoins de sécurité.

Vérification :

  • PowerShell: Get-MpPreference | Select-Object -Property DisableScanningNetworkFiles
  • Network drive scanning in scheduled scans

Remédiation :

  1. Set-MpPreference -DisableScanningNetworkFiles
  2. GPO: Scan mapped network drives = Enabled
  3. Évaluer l’impact performance réseau

Valeur par défaut : Disabled État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S4.2.2 — Analyse des archives dans les scans programmés

Niveau : 🟠 Référence CIS : CIS Defender 4.7 MITRE ATT&CK : T1027.002

Description : Active l’analyse approfondie des archives et fichiers compressés pendant les analyses programmées.

Vérification :

  • PowerShell: Get-MpPreference | Select-Object -Property DisableArchiveScanning
  • Archive scanning configuration

Remédiation :

  1. Set-MpPreference -DisableArchiveScanning
  2. GPO: Scan archive files = Enabled
  3. Considérer l’impact sur durée d’analyse

Valeur par défaut : Enabled État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S4.2.3 — Profondeur maximale d’analyse des archives

Niveau : 🟡 Référence CIS : CIS Defender 4.8 MITRE ATT&CK : T1027.002

Description : Configure la profondeur maximale d’analyse des archives imbriquées pour équilibrer sécurité et performance.

Vérification :

  • PowerShell: Configuration intégrée dans DisableArchiveScanning
  • Archive depth scanning limits

Remédiation :

  1. Configuration automatique via Windows Defender
  2. Surveillance des performances d’analyse
  3. Ajustement si timeouts fréquents

Valeur par défaut : Standard depth État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S4.2.4 — Analyse des emails dans les scans programmés

Niveau : 🟠 Référence CIS : CIS Defender 4.9 MITRE ATT&CK : T1566.001

Description : Include l’analyse des fichiers email et bases de données de messagerie dans les analyses programmées.

Vérification :

  • PowerShell: Get-MpPreference | Select-Object -Property DisableEmailScanning
  • Email scanning in scheduled scans

Remédiation :

  1. Set-MpPreference -DisableEmailScanning
  2. GPO: Scan e-mail = Enabled
  3. Coordonner avec équipes messaging

Valeur par défaut : Enabled État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S4.2.5 — Analyse des supports amovibles

Niveau : 🟠 Référence CIS : CIS Defender 4.10 MITRE ATT&CK : T1091

Description : Configure l’analyse automatique des supports amovibles lors de leur connexion et pendant les scans programmés.

Vérification :

  • PowerShell: Get-MpPreference | Select-Object -Property DisableRemovableDriveScanning
  • Removable drive scanning policy

Remédiation :

  1. Set-MpPreference -DisableRemovableDriveScanning
  2. GPO: Scan removable drives = Enabled
  3. Équilibrer sécurité et commodité utilisateur

Valeur par défaut : Enabled État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S4.3.1 — Mise à jour des signatures avant analyse

Niveau : 🟠 Référence CIS : CIS Defender 4.11 MITRE ATT&CK : T1562.001

Description : Force la mise à jour des signatures antivirus avant chaque analyse programmée pour maximiser la détection.

Vérification :

  • PowerShell: Get-MpPreference | Select-Object -Property CheckForSignaturesBeforeRunningScan
  • Pre-scan signature update policy

Remédiation :

  1. Set-MpPreference -CheckForSignaturesBeforeRunningScan
  2. GPO: Check for the latest virus and spyware definitions before running a scheduled scan = Enabled

Valeur par défaut : Enabled État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S4.3.2 — Timeout pour analyses longues

Niveau : 🟡 Référence CIS : CIS Defender 4.12 MITRE ATT&CK : N/A

Description : Configure un timeout raisonnable pour les analyses programmées afin d’éviter les blocages système prolongés.

Vérification :

  • PowerShell: Get-MpPreference | Select-Object -Property ScanTimeout
  • Scan timeout configuration

Remédiation :

  1. Configuration via GPO si nécessaire
  2. Surveiller les analyses qui n’aboutissent pas
  3. Ajuster selon la taille des systèmes

Valeur par défaut : No timeout État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S4.3.3 — Exclusions spécifiques aux analyses programmées

Niveau : 🟡 Référence CIS : CIS Defender 4.13 MITRE ATT&CK : N/A

Description : Configure des exclusions spécifiques pour les analyses programmées pour optimiser les performances sans compromettre la sécurité.

Vérification :

  • PowerShell: Get-MpPreference | Select-Object -Property ExclusionPath,ExclusionExtension
  • Scheduled scan specific exclusions

Remédiation :

  1. Évaluer les exclusions nécessaires pour bases de données
  2. Documenter et justifier chaque exclusion
  3. Révision régulière des exclusions

Valeur par défaut : Global exclusions apply État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S4.3.4 — Priorité des processus d’analyse

Niveau : 🟡 Référence CIS : CIS Defender 4.14 MITRE ATT&CK : N/A

Description : Configure la priorité des processus d’analyse programmée pour équilibrer sécurité et performance système.

Vérification :

  • PowerShell: Process priority configuration (automatique)
  • Task Manager: Priorité des processus Defender

Remédiation :

  1. Configuration automatique par Windows Defender
  2. Surveiller l’impact sur les performances
  3. Ajustement via exclusions si nécessaire

Valeur par défaut : Normal priority État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S4.3.5 — Planification intelligente des analyses

Niveau : 🟢 Référence CIS : CIS Defender 4.15 MITRE ATT&CK : N/A

Description : Implémente une planification intelligente qui adapte les heures d’analyse selon les patterns d’utilisation système.

Vérification :

  • Task Scheduler: Conditions d’exécution adaptatives
  • Machine Learning basé sur utilisation historique

Remédiation :

  1. Analyser les patterns d’utilisation système
  2. Ajuster les heures d’analyse dynamiquement
  3. Feedback utilisateur pour optimisation

Valeur par défaut : Fixed schedule État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S4.4.1 — Reporting des résultats d’analyses programmées

Niveau : 🟡 Référence CIS : CIS Defender 4.16 MITRE ATT&CK : N/A

Description : Configure le reporting automatique des résultats d’analyses programmées pour suivi centralisé.

Vérification :

  • PowerShell: Get-MpThreatDetection pour historique
  • Event Viewer: Microsoft-Windows-Windows Defender/Operational

Remédiation :

  1. Configurer la centralisation des logs d’analyse
  2. Alertes automatiques en cas de détections
  3. Rapports hebdomadaires de synthèse

Valeur par défaut : Local logging only État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S4.4.2 — Surveillance des échecs d’analyses programmées

Niveau : 🟠 Référence CIS : CIS Defender 4.17 MITRE ATT&CK : T1562.001

Description : Surveille et alerte sur les échecs d’analyses programmées pour intervention rapide.

Vérification :

  • PowerShell: Get-WinEvent -FilterHashtable @{LogName=‘Microsoft-Windows-Windows Defender/Operational’; ID=1005}
  • Event ID 1005 pour scan failures

Remédiation :

  1. Configurer alertes sur échecs d’analyse
  2. Processus d’escalade automatique
  3. Investigation des causes racines

Valeur par défaut : No automatic alerting État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S4.4.3 — Métriques de performance des analyses

Niveau : 🟡 Référence CIS : CIS Defender 4.18 MITRE ATT&CK : N/A

Description : Collecte et analyse les métriques de performance des analyses pour optimisation continue.

Vérification :

  • PowerShell: Durée d’analyse, fichiers scannés, détections
  • Performance baselines et trending

Remédiation :

  1. Établir des baselines de performance
  2. Monitoring des tendances de durée
  3. Optimisation basée sur les données

Valeur par défaut : Basic metrics collection État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S4.4.4 — Intégration avec outils de monitoring

Niveau : 🟡 Référence CIS : CIS Defender 4.19 MITRE ATT&CK : N/A

Description : Intègre les métriques d’analyses avec les outils de monitoring système pour vue d’ensemble.

Vérification :

  • SCOM/Nagios/Zabbix: Intégration des métriques Defender
  • Dashboard centralisé de sécurité

Remédiation :

  1. Configurer les connecteurs monitoring
  2. Seuils d’alerte appropriés
  3. Corrélation avec autres métriques système

Valeur par défaut : No external integration État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S4.4.5 — Archivage des historiques d’analyse

Niveau : 🟢 Référence CIS : CIS Defender 4.20 MITRE ATT&CK : N/A

Description : Maintient un archivage approprié des historiques d’analyse pour audit et conformité.

Vérification :

  • PowerShell: Get-MpPreference | Select-Object -Property ScanPurgeItemsAfterDelay
  • Log retention policy configuration

Remédiation :

  1. Configurer rétention logs 12 mois minimum
  2. Archivage automatique des anciens logs
  3. Procédures de récupération pour audit

Valeur par défaut : 30 days retention État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

SECTION S5 — GESTION DES EXCLUSIONS

Objectif : Gérer rigoureusement les exclusions antivirus pour maintenir la sécurité tout en évitant les conflits avec les applications légitimes.

Contrôles : 15 | Criticité moyenne : 🟠 Élevé

S5.1.1 — Inventaire documenté des exclusions

Niveau : 🔴 Référence CIS : CIS Defender 5.1 MITRE ATT&CK : T1562.001

Description : Maintient un inventaire complet et documenté de toutes les exclusions antivirus avec justifications métier.

Vérification :

  • PowerShell: Get-MpPreference | Select-Object -Property ExclusionPath,ExclusionExtension,ExclusionProcess
  • Documentation formelle des exclusions avec approbations

Remédiation :

  1. Créer registre centralisé des exclusions
  2. Justification métier obligatoire pour chaque exclusion
  3. Approbation formelle par équipe sécurité

Valeur par défaut : No documented exclusions État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S5.1.2 — Exclusions de chemins avec wildcards sécurisés

Niveau : 🟠 Référence CIS : CIS Defender 5.2 MITRE ATT&CK : T1562.001

Description : Configure les exclusions de chemins avec des wildcards spécifiques pour éviter les exclusions trop larges.

Vérification :

  • PowerShell: Get-MpPreference | Select-Object -ExpandProperty ExclusionPath
  • Audit des wildcards potentiellement dangereux

Remédiation :

  1. Éviter les exclusions type ‘C:*’ ou ‘.
  2. Utiliser chemins spécifiques: ‘C:\Program Files\AppName*’
  3. Révision régulière des wildcards

Valeur par défaut : No path exclusions État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S5.1.3 — Exclusions d’extensions strictement limitées

Niveau : 🟠 Référence CIS : CIS Defender 5.3 MITRE ATT&CK : T1562.001

Description : Limite strictement les exclusions d’extensions de fichiers aux besoins métier légitimes documentés.

Vérification :

  • PowerShell: Get-MpPreference | Select-Object -ExpandProperty ExclusionExtension
  • Audit des extensions exclues potentiellement risquées

Remédiation :

  1. Interdire exclusions .exe, .dll, .scr, .bat, .cmd
  2. Limiter aux extensions spécifiques métier (.dbf, .lck, etc.)
  3. Révision mensuelle des exclusions d’extensions

Valeur par défaut : No extension exclusions État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S5.1.4 — Exclusions de processus avec validation sécurité

Niveau : 🔴 Référence CIS : CIS Defender 5.4 MITRE ATT&CK : T1562.001

Description : Valide rigoureusement les exclusions de processus pour éviter l’exclusion de processus potentiellement malveillants.

Vérification :

  • PowerShell: Get-MpPreference | Select-Object -ExpandProperty ExclusionProcess
  • Validation sécurité de chaque processus exclu

Remédiation :

  1. Signature numérique obligatoire pour processus exclus
  2. Validation par équipe sécurité
  3. Surveillance renforcée des processus exclus

Valeur par défaut : No process exclusions État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S5.1.5 — Exclusions temporaires avec échéance

Niveau : 🟠 Référence CIS : CIS Defender 5.5 MITRE ATT&CK : T1562.001

Description : Implémente un système d’exclusions temporaires avec dates d’échéance automatiques pour révision.

Vérification :

  • Documentation: Suivi des dates d’échéance des exclusions temporaires
  • Processus de révision automatique

Remédiation :

  1. Système de tickets avec dates d’échéance
  2. Révision automatique mensuelle
  3. Suppression auto des exclusions expirées

Valeur par défaut : No temporary exclusion system État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S5.2.1 — Exclusions pour applications métier critiques

Niveau : 🟡 Référence CIS : CIS Defender 5.6 MITRE ATT&CK : N/A

Description : Configure des exclusions appropriées pour les applications métier critiques tout en maintenant la sécurité maximale.

Vérification :

  • PowerShell: Exclusions spécifiques aux applications identifiées
  • Performance et stabilité des applications critiques

Remédiation :

  1. Identifier applications nécessitant exclusions
  2. Exclusions minimales nécessaires uniquement
  3. Monitoring renforcé des répertoires exclus

Valeur par défaut : No business application exclusions État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S5.2.2 — Exclusions pour bases de données

Niveau : 🟡 Référence CIS : CIS Defender 5.7 MITRE ATT&CK : N/A

Description : Configure les exclusions appropriées pour les systèmes de bases de données selon les recommandations des éditeurs.

Vérification :

  • PowerShell: Exclusions pour SQL Server, Oracle, MongoDB, etc.
  • Documentation éditeur des exclusions recommandées

Remédiation :

  1. Suivre recommendations Microsoft SQL Server
  2. Exclusions spécifiques aux fichiers de données (.mdf, .ldf)
  3. Surveillance des répertoires de données

Valeur par défaut : No database exclusions État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S5.2.3 — Exclusions pour systèmes de sauvegarde

Niveau : 🟡 Référence CIS : CIS Defender 5.8 MITRE ATT&CK : N/A

Description : Configure les exclusions nécessaires pour les systèmes de sauvegarde pour éviter les corruptions et améliorer les performances.

Vérification :

  • PowerShell: Exclusions pour Veeam, Acronis, Backup Exec, etc.
  • Performance et intégrité des sauvegardes

Remédiation :

  1. Exclusions selon documentation éditeur backup
  2. Surveillance des performances de sauvegarde
  3. Tests d’intégrité réguliers

Valeur par défaut : No backup system exclusions État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S5.2.4 — Exclusions pour outils de développement

Niveau : 🟡 Référence CIS : CIS Defender 5.9 MITRE ATT&CK : T1127

Description : Balance les exclusions pour outils de développement entre productivité et sécurité, avec surveillance renforcée.

Vérification :

  • PowerShell: Exclusions pour Visual Studio, compilers, etc.
  • Monitoring activité dans répertoires de développement

Remédiation :

  1. Exclusions limitées aux répertoires projets
  2. Surveillance renforcée activité développement
  3. Formation développeurs sur sécurité

Valeur par défaut : No development tool exclusions État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S5.2.5 — Exclusions pour services système critiques

Niveau : 🟠 Référence CIS : CIS Defender 5.10 MITRE ATT&CK : T1562.001

Description : Configure prudemment les exclusions pour les services système Windows critiques selon les guidelines Microsoft.

Vérification :

  • PowerShell: Exclusions pour services Windows essentiels
  • Guidelines Microsoft pour exclusions système

Remédiation :

  1. Suivre strictement recommandations Microsoft
  2. Exclusions minimales pour fonctionnement système
  3. Documentation de chaque exclusion système

Valeur par défaut : Automatic system exclusions État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S5.3.1 — Processus d’approbation des exclusions

Niveau : 🔴 Référence CIS : CIS Defender 5.11 MITRE ATT&CK : T1562.001

Description : Établit un processus formel d’approbation pour toutes les demandes d’exclusion avec validation sécurité.

Vérification :

  • Documentation: Processus d’approbation documenté et suivi
  • Traçabilité des approbations et refus

Remédiation :

  1. Formulaire standardisé de demande d’exclusion
  2. Validation obligatoire par équipe sécurité
  3. Approbation du management pour exclusions critiques

Valeur par défaut : No formal approval process État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S5.3.2 — Tests d’impact avant exclusion

Niveau : 🟠 Référence CIS : CIS Defender 5.12 MITRE ATT&CK : N/A

Description : Effectue des tests d’impact sécurité avant d’implémenter de nouvelles exclusions.

Vérification :

  • Test Environment: Validation impact sécurité des exclusions
  • Simulation d’attaques sur zones exclues

Remédiation :

  1. Tests en environnement isolé
  2. Évaluation risques vs bénéfices
  3. Plan de rollback en cas de problème

Valeur par défaut : No systematic testing État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S5.3.3 — Surveillance renforcée des zones exclues

Niveau : 🔴 Référence CIS : CIS Defender 5.13 MITRE ATT&CK : T1562.001

Description : Implémente une surveillance sécurité renforcée des répertoires et processus exclus de l’antivirus.

Vérification :

  • SIEM: Monitoring activité dans zones exclues
  • File Integrity Monitoring sur répertoires exclus

Remédiation :

  1. Configurer FIM sur tous répertoires exclus
  2. Alertes sur modifications dans zones exclues
  3. Corrélation avec autres événements sécurité

Valeur par défaut : No enhanced monitoring État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S5.3.4 — Révision périodique des exclusions

Niveau : 🟠 Référence CIS : CIS Defender 5.14 MITRE ATT&CK : T1562.001

Description : Effectue une révision trimestrielle de toutes les exclusions pour valider leur pertinence continue.

Vérification :

  • Documentation: Planning et résultats des révisions trimestrielles
  • Actions correctives suite aux révisions

Remédiation :

  1. Calendrier de révision trimestrielle
  2. Validation continue de la nécessité métier
  3. Suppression des exclusions obsolètes

Valeur par défaut : No periodic review État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S5.3.5 — Métriques et reporting des exclusions

Niveau : 🟡 Référence CIS : CIS Defender 5.15 MITRE ATT&CK : N/A

Description : Collecte des métriques sur l’utilisation des exclusions et leur impact sur la posture de sécurité.

Vérification :

  • Reporting: Nombre d’exclusions, types, évolution temporelle
  • Métriques d’impact sécurité

Remédiation :

  1. Dashboard des exclusions actives
  2. Métriques d’impact performance et sécurité
  3. Rapports mensuels pour management

Valeur par défaut : No systematic metrics État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

SECTION S7 — PROTECTION RÉSEAU

Objectif : Configurer la protection réseau Microsoft Defender pour bloquer les connexions malveillantes et sécuriser la navigation web.

Contrôles : 15 | Criticité moyenne : 🔴 Critique

S7.1.1 — Activation de la protection réseau

Niveau : 🔴 Référence CIS : CIS Defender 7.1 MITRE ATT&CK : T1071

Description : Active la protection réseau Microsoft Defender pour bloquer les connexions vers des domaines et IPs malveillants connus.

Vérification :

  • PowerShell: Get-MpPreference | Select-Object -Property EnableNetworkProtection
  • Registre: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\Network Protection\EnableNetworkProtection

Remédiation :

  1. Set-MpPreference -EnableNetworkProtection Enabled
  2. GPO: Prevent users and apps from accessing dangerous websites = Enabled (Block mode)
  3. Intune: Endpoint Security > Attack Surface Reduction > Network Protection

Valeur par défaut : Disabled État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S7.1.2 — Configuration SmartScreen pour Microsoft Edge

Niveau : 🔴 Référence CIS : CIS Defender 7.2 MITRE ATT&CK : T1566.002

Description : Active et configure Microsoft Defender SmartScreen dans Edge pour bloquer les sites web et téléchargements malveillants.

Vérification :

  • PowerShell: Get-ItemProperty -Path ‘HKLM:\SOFTWARE\Policies\Microsoft\Edge’ -Name SmartScreenEnabled
  • Edge: edge://settings/privacy > Security

Remédiation :

  1. GPO: Computer Config > Administrative Templates > Microsoft Edge > SmartScreenEnabled = 1
  2. GPO: SmartScreenPuaEnabled = 1
  3. Intune: Administrative Templates > Microsoft Edge

Valeur par défaut : Enabled État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S7.1.3 — SmartScreen pour applications et fichiers

Niveau : 🔴 Référence CIS : CIS Defender 7.3 MITRE ATT&CK : T1204.002

Description : Active SmartScreen pour vérifier la réputation des applications et fichiers téléchargés depuis Internet.

Vérification :

  • PowerShell: Get-ItemProperty -Path ‘HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer’ -Name SmartScreenEnabled
  • Windows Security: App & browser control > Reputation-based protection

Remédiation :

  1. GPO: Computer Config > Administrative Templates > Windows Components > File Explorer > Configure Windows Defender SmartScreen = Enabled
  2. Set-ItemProperty -Path ‘HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer’ -Name SmartScreenEnabled -Value ‘RequireAdmin’

Valeur par défaut : Enabled (Warn) État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S7.1.4 — Protection contre les applications potentiellement indésirables (PUA)

Niveau : 🟠 Référence CIS : CIS Defender 7.4 MITRE ATT&CK : T1566.001

Description : Active la détection et le blocage des applications potentiellement indésirables (PUA) via SmartScreen et Defender.

Vérification :

  • PowerShell: Get-MpPreference | Select-Object -Property PUAProtection
  • Registre: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\PUAProtection

Remédiation :

  1. Set-MpPreference -PUAProtection Enabled
  2. GPO: Configure detection for potentially unwanted applications = Enabled
  3. SmartScreen PUA protection in browsers

Valeur par défaut : Disabled État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S7.1.5 — Filtrage DNS avec protection contre le DNS poisoning

Niveau : 🟠 Référence CIS : CIS Defender 7.5 MITRE ATT&CK : T1071.004

Description : Configure la protection DNS pour bloquer les requêtes vers des domaines malveillants et prévenir le DNS poisoning.

Vérification :

  • PowerShell: Get-DnsClientServerAddress pour vérifier serveurs DNS sécurisés
  • Network Protection integration avec DNS filtering

Remédiation :

  1. Configurer DNS sécurisés (1.1.1.1, 8.8.8.8, ou DNS d’entreprise filtrants)
  2. Activer Network Protection pour filtrage complémentaire
  3. Monitorer requêtes DNS suspectes

Valeur par défaut : ISP DNS État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S7.2.1 — Blocage des connexions sortantes suspectes

Niveau : 🟠 Référence CIS : CIS Defender 7.6 MITRE ATT&CK : T1071

Description : Configure le blocage automatique des connexions sortantes vers des IPs et domaines identifiés comme malveillants.

Vérification :

  • PowerShell: Get-WinEvent -FilterHashtable @{LogName=‘Microsoft-Windows-Windows Defender/Operational’; ID=1125,1126}
  • Network Protection block events

Remédiation :

  1. Activer Network Protection en mode Block
  2. Surveiller Event ID 1125 (Network Protection block)
  3. Whitelist des domaines légitimes si nécessaire

Valeur par défaut : No automatic blocking État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S7.2.2 — Protection contre l’exfiltration de données

Niveau : 🟠 Référence CIS : CIS Defender 7.7 MITRE ATT&CK : T1041

Description : Surveille et bloque les tentatives d’exfiltration de données vers des destinations non autorisées.

Vérification :

  • Network Protection: Surveillance des connexions suspectes
  • Integration avec DLP policies

Remédiation :

  1. Configurer Network Protection pour surveillance avancée
  2. Intégrer avec Microsoft 365 DLP
  3. Alertes sur volumes de données inhabituels

Valeur par défaut : Basic monitoring État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S7.2.3 — Blocage des communications C&C (Command and Control)

Niveau : 🔴 Référence CIS : CIS Defender 7.8 MITRE ATT&CK : T1071

Description : Détecte et bloque les communications avec des serveurs de commande et contrôle de malwares.

Vérification :

  • Network Protection: Détection patterns C&C
  • Threat Intelligence integration

Remédiation :

  1. Maintenir Network Protection à jour
  2. Intégrer feeds de threat intelligence
  3. Surveillance des connexions périodiques suspectes

Valeur par défaut : Included in Network Protection État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S7.2.4 — Protection contre les attaques par déni de service

Niveau : 🟡 Référence CIS : CIS Defender 7.9 MITRE ATT&CK : T1498

Description : Configure la protection contre les attaques DoS locales et aide à la détection des participations à des DDoS.

Vérification :

  • Network Protection: Détection de patterns DoS
  • Windows Firewall advanced rules

Remédiation :

  1. Configurer Windows Firewall avec règles anti-DoS
  2. Surveillance des connexions anormalement élevées
  3. Limitation des connexions sortantes par processus

Valeur par défaut : Basic Windows Firewall protection État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S7.2.5 — Inspection SSL/TLS et détection de certificats malveillants

Niveau : 🟡 Référence CIS : CIS Defender 7.10 MITRE ATT&CK : T1553.004

Description : Configure la validation des certificats SSL/TLS et la détection de certificats compromis ou malveillants.

Vérification :

  • Certificate Store: Validation des autorités de certification
  • SmartScreen certificate validation

Remédiation :

  1. Maintenir à jour les listes de révocation
  2. Configurer la validation stricte des certificats
  3. Alertes sur certificats auto-signés suspects

Valeur par défaut : Standard certificate validation État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S7.3.1 — Intégration avec Windows Firewall

Niveau : 🟠 Référence CIS : CIS Defender 7.11 MITRE ATT&CK : T1562.004

Description : Intègre Network Protection avec Windows Firewall pour une défense en profondeur coordonnée.

Vérification :

  • PowerShell: Get-NetFirewallProfile | Select-Object -Property Name,Enabled,DefaultInboundAction,DefaultOutboundAction
  • Windows Firewall coordination avec Network Protection

Remédiation :

  1. Maintenir Windows Firewall activé sur tous profils
  2. Coordonner règles Firewall avec Network Protection
  3. Logging centralisé des événements firewall

Valeur par défaut : Basic integration État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S7.3.2 — Configuration proxy et inspection du trafic

Niveau : 🟡 Référence CIS : CIS Defender 7.12 MITRE ATT&CK : T1071

Description : Configure l’inspection du trafic via proxy d’entreprise en coordination avec Network Protection.

Vérification :

  • PowerShell: netsh winhttp show proxy
  • Proxy configuration et inspection SSL

Remédiation :

  1. Configurer proxy transparent si possible
  2. Coordination avec Network Protection
  3. Bypass appropriés pour services Microsoft

Valeur par défaut : Direct connection État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S7.3.3 — Surveillance des connexions P2P et BitTorrent

Niveau : 🟡 Référence CIS : CIS Defender 7.13 MITRE ATT&CK : T1071.001

Description : Détecte et contrôle les connexions peer-to-peer et BitTorrent pour prévenir les fuites de données et malwares.

Vérification :

  • Network monitoring: Détection protocols P2P
  • Traffic analysis pour patterns BitTorrent

Remédiation :

  1. Configurer détection de trafic P2P
  2. Bloquer ports BitTorrent standards
  3. Alertes sur utilisation de protocoles P2P

Valeur par défaut : No specific P2P monitoring État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S7.3.4 — Protection contre les attaques de réseaux sans fil

Niveau : 🟡 Référence CIS : CIS Defender 7.14 MITRE ATT&CK : T1200

Description : Configure la protection contre les attaques via réseaux WiFi compromis et points d’accès malveillants.

Vérification :

  • Windows WiFi profiles et sécurité
  • Network Protection sur connexions sans fil

Remédiation :

  1. Désactiver auto-connexion réseaux ouverts
  2. Forcer WPA3 ou WPA2 minimum
  3. Surveillance des connexions WiFi suspectes

Valeur par défaut : Basic WiFi security État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S7.3.5 — Reporting et métriques de protection réseau

Niveau : 🟢 Référence CIS : CIS Defender 7.15 MITRE ATT&CK : N/A

Description : Configure le reporting détaillé des activités de protection réseau pour analyse et optimisation.

Vérification :

  • PowerShell: Get-WinEvent Network Protection events
  • SIEM integration pour événements réseau

Remédiation :

  1. Configurer logging détaillé Network Protection
  2. Dashboards de surveillance réseau
  3. Métriques d’efficacité de blocage

Valeur par défaut : Basic event logging État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

SECTION S10 — MICROSOFT DEFENDER FOR ENDPOINT

Objectif : Configurer et déployer Microsoft Defender for Endpoint pour une protection avancée et une réponse aux incidents automatisée.

Contrôles : 25 | Criticité moyenne : 🔴 Critique

S10.1.1 — Déploiement et onboarding MDE

Niveau : 🔴 Référence CIS : CIS Defender 10.1 MITRE ATT&CK : N/A

Description : Déploie et configure l’onboarding Microsoft Defender for Endpoint sur tous les endpoints de l’organisation.

Vérification :

  • PowerShell: Get-Service -Name Sense | Select-Object Name,Status,StartType
  • Microsoft 365 Defender Portal: Device inventory et health status

Remédiation :

  1. Télécharger package d’onboarding depuis M365 Defender Portal
  2. Déployer via GPO, Intune, ou SCCM
  3. Vérifier connectivity: Test-NetConnection winatp-gw-cus.microsoft.com -Port 443

Valeur par défaut : Not deployed État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S10.1.2 — Configuration des politiques de détection EDR

Niveau : 🔴 Référence CIS : CIS Defender 10.2 MITRE ATT&CK : T1562.001

Description : Configure les politiques de détection EDR (Endpoint Detection and Response) pour une surveillance comportementale avancée.

Vérification :

  • M365 Defender Portal: Settings > Endpoints > Advanced features
  • EDR in block mode configuration

Remédiation :

  1. Activer EDR in block mode
  2. Configurer les règles de détection personnalisées
  3. Ajuster sensibilité selon environnement

Valeur par défaut : Standard detection rules État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S10.1.3 — Configuration de l’investigation automatisée (AIR)

Niveau : 🟠 Référence CIS : CIS Defender 10.3 MITRE ATT&CK : T1562.001

Description : Active et configure l’investigation et réponse automatisées (AIR) pour réduire les temps de réponse aux incidents.

Vérification :

  • M365 Defender Portal: Settings > Endpoints > Advanced features > Automated investigation
  • AIR automation level configuration

Remédiation :

  1. Configurer automation level: Semi-automated ou Full automated
  2. Définir actions automatiques approuvées
  3. Surveillance des actions AIR

Valeur par défaut : Semi-automated État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S10.1.4 — Configuration Advanced Hunting

Niveau : 🟠 Référence CIS : CIS Defender 10.4 MITRE ATT&CK : N/A

Description : Configure et utilise Advanced Hunting pour la recherche proactive de menaces avec des requêtes KQL personnalisées.

Vérification :

  • M365 Defender Portal: Hunting > Advanced hunting
  • Bibliothèque de requêtes personnalisées

Remédiation :

  1. Créer requêtes de chasse personnalisées
  2. Programmer des requêtes récurrentes
  3. Intégrer résultats avec workflows d’investigation

Valeur par défaut : Basic hunting capabilities État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S10.1.5 — Intégration avec Microsoft Sentinel

Niveau : 🟡 Référence CIS : CIS Defender 10.5 MITRE ATT&CK : N/A

Description : Intègre MDE avec Microsoft Sentinel pour une analyse SIEM centralisée et une corrélation de sécurité avancée.

Vérification :

  • Microsoft Sentinel: Data connectors > Microsoft 365 Defender
  • Flux de données MDE vers Sentinel

Remédiation :

  1. Configurer connecteur MDE dans Sentinel
  2. Créer règles de corrélation personnalisées
  3. Dashboards unifiés de sécurité

Valeur par défaut : No SIEM integration État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S10.2.1 — Gestion des indicateurs de compromission (IOCs)

Niveau : 🟠 Référence CIS : CIS Defender 10.6 MITRE ATT&CK : T1562.001

Description : Configure la gestion centralisée des IOCs pour bloquer automatiquement les indicateurs de menaces connus.

Vérification :

  • M365 Defender Portal: Settings > Endpoints > Indicators
  • Liste des IOCs actifs et leurs actions

Remédiation :

  1. Importer feeds de threat intelligence
  2. Créer IOCs personnalisés basés sur incidents
  3. Configurer actions automatiques (Alert, Block, etc.)

Valeur par défaut : No custom IOCs État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S10.2.2 — Configuration des groupes d’appareils

Niveau : 🟡 Référence CIS : CIS Defender 10.7 MITRE ATT&CK : N/A

Description : Organise les endpoints en groupes logiques pour appliquer des politiques de sécurité différenciées.

Vérification :

  • M365 Defender Portal: Settings > Endpoints > Device groups
  • Attribution des devices aux groupes appropriés

Remédiation :

  1. Créer groupes par criticité (Critical, Standard, Dev)
  2. Définir politiques spécifiques par groupe
  3. Attribution automatique basée sur tags

Valeur par défaut : Single default group État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S10.2.3 — Configuration des notifications et alertes

Niveau : 🟠 Référence CIS : CIS Defender 10.8 MITRE ATT&CK : N/A

Description : Configure les notifications personnalisées pour les incidents critiques et les détections importantes.

Vérification :

  • M365 Defender Portal: Settings > Endpoints > Email notifications
  • Règles de notification configurées

Remédiation :

  1. Configurer notifications email par criticité
  2. Intégration avec outils de ticketing (ServiceNow, etc.)
  3. Escalade automatique pour incidents critiques

Valeur par défaut : Basic email notifications État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S10.2.4 — Configuration du live response

Niveau : 🟠 Référence CIS : CIS Defender 10.9 MITRE ATT&CK : T1105

Description : Active et configure les capacités de réponse en temps réel pour investigation et remédiation à distance.

Vérification :

  • M365 Defender Portal: Settings > Endpoints > Advanced features > Live response
  • Permissions et accès live response

Remédiation :

  1. Activer live response avec restrictions appropriées
  2. Définir utilisateurs autorisés
  3. Procédures d’utilisation documentées

Valeur par défaut : Disabled État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S10.2.5 — Configuration de l’analyse comportementale

Niveau : 🟠 Référence CIS : CIS Defender 10.10 MITRE ATT&CK : T1055

Description : Configure l’analyse comportementale avancée pour détecter les techniques d’évasion et les attaques sophistiquées.

Vérification :

  • MDE behavioral analysis settings
  • Cloud-powered protection activation

Remédiation :

  1. Maintenir protection cloud activée
  2. Configurer seuils de détection appropriés
  3. Surveillance des faux positifs

Valeur par défaut : Standard behavioral analysis État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S10.3.1 — Threat and Vulnerability Management (TVM)

Niveau : 🟠 Référence CIS : CIS Defender 10.11 MITRE ATT&CK : T1190

Description : Active et configure TVM pour identifier et prioriser les vulnérabilités selon le risque réel d’exploitation.

Vérification :

  • M365 Defender Portal: Vulnerability management > Dashboard
  • Inventaire des vulnérabilités et recommandations

Remédiation :

  1. Activer toutes les fonctionnalités TVM
  2. Intégrer avec processus de patch management
  3. Priorisation basée sur exploitabilité

Valeur par défaut : Basic vulnerability detection État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S10.3.2 — Microsoft Secure Score intégration

Niveau : 🟡 Référence CIS : CIS Defender 10.12 MITRE ATT&CK : N/A

Description : Utilise Microsoft Secure Score pour mesurer et améliorer continuellement la posture de sécurité.

Vérification :

  • M365 Defender Portal: Secure Score dashboard
  • Progression et actions recommandées

Remédiation :

  1. Révision mensuelle du Secure Score
  2. Priorisation des améliorations high-impact
  3. Suivi des métriques de progression

Valeur par défaut : Default scoring État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S10.3.3 — Configuration des simulations d’attaque

Niveau : 🟡 Référence CIS : CIS Defender 10.13 MITRE ATT&CK : T1204

Description : Configure et utilise les simulations d’attaque intégrées pour tester les défenses et former les utilisateurs.

Vérification :

  • M365 Defender Portal: Evaluation and tutorials
  • Attack simulation training results

Remédiation :

  1. Programmer simulations régulières
  2. Analyser résultats et améliorer formations
  3. Mesurer amélioration awareness utilisateurs

Valeur par défaut : No regular simulations État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S10.3.4 — Intégration avec Microsoft 365 Defender

Niveau : 🟠 Référence CIS : CIS Defender 10.14 MITRE ATT&CK : N/A

Description : Intègre pleinement MDE avec l’écosystème M365 Defender pour une protection coordonnée cross-platform.

Vérification :

  • M365 Defender Portal: Unified incident management
  • Cross-service correlation et investigation

Remédiation :

  1. Activer toutes les intégrations M365 Defender
  2. Unified incident response workflows
  3. Corrélation avec Defender for Office 365, Cloud Apps

Valeur par défaut : Basic integration État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S10.3.5 — Configuration du machine learning et IA

Niveau : 🟡 Référence CIS : CIS Defender 10.15 MITRE ATT&CK : N/A

Description : Optimise les capacités de machine learning et d’IA pour améliorer la précision de détection et réduire les faux positifs.

Vérification :

  • Cloud-powered protection status
  • ML-based detection effectiveness metrics

Remédiation :

  1. Maintenir cloud connectivity pour ML updates
  2. Feedback sur faux positifs pour améliorer ML
  3. Surveillance performance des modèles IA

Valeur par défaut : Standard ML capabilities État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S10.4.1 — Collecte et analyse des données télémétrie

Niveau : 🟡 Référence CIS : CIS Defender 10.16 MITRE ATT&CK : N/A

Description : Configure la collecte optimale de télémétrie pour alimenter les analyses de sécurité sans impacter les performances.

Vérification :

  • Telemetry collection settings
  • Data retention policies

Remédiation :

  1. Configurer niveau de télémétrie approprié
  2. Balance entre détection et privacy
  3. Rétention données selon réglementations

Valeur par défaut : Standard telemetry État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S10.4.2 — Configuration des playbooks de réponse

Niveau : 🟠 Référence CIS : CIS Defender 10.17 MITRE ATT&CK : N/A

Description : Développe et configure des playbooks de réponse automatisée pour les types d’incidents courants.

Vérification :

  • Automated investigation playbooks
  • Custom response actions

Remédiation :

  1. Créer playbooks pour incidents fréquents
  2. Tester et ajuster réponses automatiques
  3. Escalade vers humains si nécessaire

Valeur par défaut : Basic automated responses État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S10.4.3 — Gestion des permissions et RBAC

Niveau : 🟠 Référence CIS : CIS Defender 10.18 MITRE ATT&CK : T1078

Description : Configure un contrôle d’accès basé sur les rôles (RBAC) strict pour limiter l’accès aux fonctions MDE sensibles.

Vérification :

  • M365 Defender Portal: Permissions & roles
  • Audit des accès et permissions accordées

Remédiation :

  1. Implémenter principe de moindre privilège
  2. Rôles personnalisés selon besoins métier
  3. Révision régulière des permissions

Valeur par défaut : Basic role assignments État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S10.4.4 — Monitoring et métriques de performance MDE

Niveau : 🟡 Référence CIS : CIS Defender 10.19 MITRE ATT&CK : N/A

Description : Surveille les performances et l’efficacité de MDE avec des métriques et KPIs appropriés.

Vérification :

  • Device health et connectivity status
  • Performance impact metrics

Remédiation :

  1. Dashboard de santé des endpoints MDE
  2. Métriques MTTR (Mean Time To Response)
  3. KPIs d’efficacité de détection

Valeur par défaut : Basic health monitoring État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S10.4.5 — Processus de mise à jour et maintenance MDE

Niveau : 🟠 Référence CIS : CIS Defender 10.20 MITRE ATT&CK : T1562.001

Description : Établit des processus de mise à jour et maintenance régulière pour maintenir l’efficacité de MDE.

Vérification :

  • Update compliance status
  • Feature rollout management

Remédiation :

  1. Processus de validation des updates MDE
  2. Ring deployment pour nouvelles fonctionnalités
  3. Rollback procedures en cas de problème

Valeur par défaut : Automatic updates État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S10.5.1 — Formation et certification des équipes

Niveau : 🟡 Référence CIS : CIS Defender 10.21 MITRE ATT&CK : N/A

Description : Assure la formation continue des équipes de sécurité sur les capacités et l’utilisation optimale de MDE.

Vérification :

  • Training completion status
  • Certification levels des analystes

Remédiation :

  1. Programme de formation MDE structuré
  2. Certifications Microsoft Defender recommandées
  3. Mise à jour compétences sur nouvelles fonctionnalités

Valeur par défaut : Basic product knowledge État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S10.5.2 — Documentation et procédures opérationnelles

Niveau : 🟡 Référence CIS : CIS Defender 10.22 MITRE ATT&CK : N/A

Description : Maintient une documentation complète des procédures d’utilisation et de maintenance de MDE.

Vérification :

  • Runbook completeness
  • Procedure documentation currency

Remédiation :

  1. Runbooks détaillés pour toutes les opérations MDE
  2. Procédures d’escalade documentées
  3. Mise à jour régulière de la documentation

Valeur par défaut : Basic documentation État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S10.5.3 — Tests et validation des capacités MDE

Niveau : 🟡 Référence CIS : CIS Defender 10.23 MITRE ATT&CK : N/A

Description : Effectue des tests réguliers pour valider l’efficacité des détections et réponses MDE.

Vérification :

  • Purple team exercise results
  • Detection validation testing

Remédiation :

  1. Tests mensuels de détection avec outils simulés
  2. Purple team exercises trimestriels
  3. Validation après chaque mise à jour majeure

Valeur par défaut : No systematic testing État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S10.5.4 — Intégration avec processus ITSM

Niveau : 🟡 Référence CIS : CIS Defender 10.24 MITRE ATT&CK : N/A

Description : Intègre les alertes et incidents MDE avec les processus ITSM existants pour une gestion unifiée.

Vérification :

  • ServiceNow/Remedy integration status
  • Ticket automation et workflow

Remédiation :

  1. Connecteurs vers outils ITSM
  2. Automatisation création tickets
  3. Escalade basée sur criticité

Valeur par défaut : Manual ticket creation État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S10.5.5 — Métriques business et ROI de MDE

Niveau : 🟢 Référence CIS : CIS Defender 10.25 MITRE ATT&CK : N/A

Description : Mesure et reporte les métriques business et le retour sur investissement de MDE.

Vérification :

  • ROI calculation methodology
  • Business impact metrics

Remédiation :

  1. Métriques de réduction des incidents
  2. Calcul des coûts évités grâce à MDE
  3. Rapports réguliers pour management

Valeur par défaut : No formal ROI measurement État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

SECTION S8 — ACCÈS CONTRÔLÉ AUX DOSSIERS

Objectif : Configurer la protection des dossiers critiques contre les modifications non autorisées et les ransomwares.

Contrôles : 15 | Criticité moyenne : 🔴 Critique

S8.1.1 — Activation de l’accès contrôlé aux dossiers

Niveau : 🔴 Référence CIS : CIS Defender 8.1 MITRE ATT&CK : T1486

Description : Active la protection des dossiers système et utilisateur contre les modifications par des applications non autorisées.

Vérification :

  • PowerShell: Get-MpPreference | Select-Object -Property EnableControlledFolderAccess
  • Registre: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\Controlled Folder Access\EnableControlledFolderAccess

Remédiation :

  1. Set-MpPreference -EnableControlledFolderAccess Enabled
  2. GPO: Windows Defender Exploit Guard > Controlled folder access > Configure Controlled folder access = Enabled
  3. Intune: Endpoint Security > Attack Surface Reduction > Controlled folder access

Valeur par défaut : Disabled État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S8.1.2 — Configuration des dossiers protégés

Niveau : 🔴 Référence CIS : CIS Defender 8.2 MITRE ATT&CK : T1486

Description : Configure la liste des dossiers protégés incluant les répertoires système critiques et dossiers utilisateur importants.

Vérification :

  • PowerShell: Get-MpPreference | Select-Object -ExpandProperty ControlledFolderAccessProtectedFolders
  • Liste des dossiers actuellement protégés

Remédiation :

  1. Add-MpPreference -ControlledFolderAccessProtectedFolders ‘C:\Users*\Documents’
  2. Add-MpPreference -ControlledFolderAccessProtectedFolders ‘C:\Users*\Desktop’
  3. Inclure dossiers métier critiques

Valeur par défaut : System default folders only État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S8.1.3 — Applications autorisées pour accès contrôlé

Niveau : 🟠 Référence CIS : CIS Defender 8.3 MITRE ATT&CK : T1486

Description : Maintient une liste d’applications autorisées à modifier les dossiers protégés avec validation de sécurité.

Vérification :

  • PowerShell: Get-MpPreference | Select-Object -ExpandProperty ControlledFolderAccessAllowedApplications
  • Audit des applications autorisées

Remédiation :

  1. Add-MpPreference -ControlledFolderAccessAllowedApplications ‘C:\Program Files\TrustedApp\app.exe’
  2. Validation signature numérique obligatoire
  3. Documentation de chaque autorisation

Valeur par défaut : Windows built-in applications only État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S8.2.1 — Protection des dossiers de sauvegarde

Niveau : 🔴 Référence CIS : CIS Defender 8.4 MITRE ATT&CK : T1486

Description : Étend la protection aux dossiers de sauvegarde locaux pour prévenir le chiffrement par ransomware.

Vérification :

  • Protection des répertoires de sauvegarde configurée
  • Exclusions appropriées pour logiciels de sauvegarde légitimes

Remédiation :

  1. Add-MpPreference -ControlledFolderAccessProtectedFolders ‘D:\Backups’
  2. Autoriser uniquement logiciels de sauvegarde validés
  3. Surveillance des accès aux dossiers de sauvegarde

Valeur par défaut : No backup folder protection État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S8.2.2 — Surveillance des tentatives d’accès bloquées

Niveau : 🟠 Référence CIS : CIS Defender 8.5 MITRE ATT&CK : T1486

Description : Surveille et analyse les tentatives d’accès bloquées pour détecter les activités malveillantes.

Vérification :

  • PowerShell: Get-WinEvent -FilterHashtable @{LogName=‘Microsoft-Windows-Windows Defender/Operational’; ID=1123}
  • Event ID 1123 pour blocked access attempts

Remédiation :

  1. Configurer alertes sur tentatives d’accès bloquées
  2. Corrélation avec autres événements de sécurité
  3. Investigation des applications légitimes bloquées

Valeur par défaut : Basic event logging État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

SECTION S9 — PROTECTION CONTRE L’EXPLOITATION

Objectif : Configurer les protections anti-exploitation pour prévenir l’exploitation des vulnérabilités système et applicatives.

Contrôles : 20 | Criticité moyenne : 🔴 Critique

S9.1.1 — Activation de l’ASLR système

Niveau : 🔴 Référence CIS : CIS Defender 9.1 MITRE ATT&CK : T1055

Description : Active l’Address Space Layout Randomization (ASLR) au niveau système pour compliquer les attaques d’exploitation mémoire.

Vérification :

  • PowerShell: Get-ProcessMitigation -System | Select-Object -Property ASLR
  • Registre: HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\MoveImages

Remédiation :

  1. Set-ProcessMitigation -System -Enable ForceRelocateImages
  2. GPO: System Settings > Optional subsystems > Set to 1
  3. bcdedit /set nx OptIn

Valeur par défaut : Enabled on modern systems État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S9.1.2 — Configuration du DEP (Data Execution Prevention)

Niveau : 🔴 Référence CIS : CIS Defender 9.2 MITRE ATT&CK : T1055

Description : Configure la prévention d’exécution des données (DEP) pour bloquer l’exécution de code dans les zones de données.

Vérification :

  • PowerShell: Get-ProcessMitigation -System | Select-Object -Property DEP
  • bcdedit /enum | findstr nx

Remédiation :

  1. Set-ProcessMitigation -System -Enable DEP
  2. bcdedit /set {current} nx AlwaysOn
  3. Redémarrage requis pour application

Valeur par défaut : OptIn on modern systems État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S9.1.3 — Protection SEHOP (Structured Exception Handler Overwrite Protection)

Niveau : 🟠 Référence CIS : CIS Defender 9.3 MITRE ATT&CK : T1055

Description : Active SEHOP pour protéger contre l’exploitation des gestionnaires d’exception structurés.

Vérification :

  • PowerShell: Get-ProcessMitigation -System | Select-Object -Property SEHOP
  • Registre: HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\kernel\DisableExceptionChainValidation

Remédiation :

  1. Set-ProcessMitigation -System -Enable SEHOP
  2. Registre: DisableExceptionChainValidation = 0
  3. Test de compatibilité avec applications legacy

Valeur par défaut : Enabled on Windows 8+ État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S9.2.1 — Mitigations par application

Niveau : 🟠 Référence CIS : CIS Defender 9.4 MITRE ATT&CK : T1055

Description : Configure des protections d’exploitation spécifiques par application pour les logiciels à haut risque.

Vérification :

  • PowerShell: Get-ProcessMitigation -Name ‘chrome.exe’,‘firefox.exe’,‘winword.exe’
  • Configuration des mitigations par process

Remédiation :

  1. Set-ProcessMitigation -Name ‘chrome.exe’ -Enable DEP,ASLR,SEHOP
  2. Configuration via GPO Exploit Protection
  3. Tests de compatibilité nécessaires

Valeur par défaut : System defaults only État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S9.2.2 — Protection Control Flow Guard (CFG)

Niveau : 🟠 Référence CIS : CIS Defender 9.5 MITRE ATT&CK : T1055

Description : Active Control Flow Guard pour protéger contre les attaques de type ROP/JOP (Return/Jump Oriented Programming).

Vérification :

  • PowerShell: Get-ProcessMitigation -System | Select-Object -Property CFG
  • Applications compilées avec support CFG

Remédiation :

  1. Set-ProcessMitigation -System -Enable CFG
  2. Vérifier support CFG dans applications critiques
  3. Mise à jour applications si nécessaire

Valeur par défaut : Application dependent État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

SECTION S11 — PROTECTION CONTRE LA FALSIFICATION (TAMPER PROTECTION)

Objectif : Protéger Microsoft Defender contre la désactivation et modification malveillante par des attaquants.

Contrôles : 10 | Criticité moyenne : 🔴 Critique

S11.1.1 — Activation de la protection contre la falsification

Niveau : �� Référence CIS : CIS Defender 11.1 MITRE ATT&CK : T1562.001

Description : Active Tamper Protection pour empêcher la désactivation malveillante de Microsoft Defender et ses composants.

Vérification :

  • Microsoft 365 Security Center: Device security > Tamper protection
  • PowerShell: Vérification via cloud management uniquement

Remédiation :

  1. Activer via Microsoft 365 Security Center
  2. Déploiement requis de Microsoft Defender for Endpoint
  3. Gestion centralisée cloud obligatoire

Valeur par défaut : Disabled (requires MDE) État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S11.1.2 — Protection des services Windows Defender

Niveau : 🔴 Référence CIS : CIS Defender 11.2 MITRE ATT&CK : T1562.001

Description : Protège les services critiques de Windows Defender contre l’arrêt et la modification non autorisés.

Vérification :

  • PowerShell: Get-Service WinDefend,WdNisSvc,Sense | Select-Object Name,Status,StartType
  • Protection des services par Tamper Protection

Remédiation :

  1. Tamper Protection protège automatiquement les services
  2. Surveillance des tentatives d’arrêt de services
  3. Alertes sur modifications de configuration service

Valeur par défaut : Protected when Tamper Protection enabled État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S11.1.3 — Protection des clés de registre Defender

Niveau : 🔴 Référence CIS : CIS Defender 11.3 MITRE ATT&CK : T1562.001

Description : Protège les clés de registre critiques de Microsoft Defender contre les modifications malveillantes.

Vérification :

  • Registre: Protection des clés HKLM\SOFTWARE\Microsoft\Windows Defender
  • Tamper Protection impact sur modifications registre

Remédiation :

  1. Protection automatique via Tamper Protection
  2. Monitoring des tentatives de modification registre
  3. Gestion centralisée des changements de configuration

Valeur par défaut : Protected when Tamper Protection enabled État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S11.2.1 — Gestion centralisée de Tamper Protection

Niveau : 🟠 Référence CIS : CIS Defender 11.4 MITRE ATT&CK : T1562.001

Description : Assure la gestion centralisée de Tamper Protection via Microsoft 365 Security Center avec traçabilité.

Vérification :

  • M365 Security Center: Centralized tamper protection management
  • Audit trail des changements de configuration

Remédiation :

  1. Configuration exclusivement via cloud management
  2. Traçabilité de tous les changements
  3. Approbation pour désactivation temporaire

Valeur par défaut : Cloud-managed when enabled État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

SECTION S12 — INTÉGRATION INTUNE/MEM

Objectif : Optimiser l’intégration avec Microsoft Intune/MEM pour une gestion centralisée et cohérente de Defender.

Contrôles : 15 | Criticité moyenne : 🟠 Élevé

S12.1.1 — Déploiement des politiques Defender via Intune

Niveau : 🔴 Référence CIS : CIS Defender 12.1 MITRE ATT&CK : N/A

Description : Configure et déploie les politiques Microsoft Defender via Intune pour une gestion centralisée et cohérente.

Vérification :

  • Intune Admin Center: Endpoint security > Antivirus policies
  • Device compliance et policy deployment status

Remédiation :

  1. Créer profils de configuration Defender dans Intune
  2. Déploiement par groupes d’appareils
  3. Monitoring du compliance status

Valeur par défaut : No centralized policy management État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S12.1.2 — Configuration des règles de conformité

Niveau : 🟠 Référence CIS : CIS Defender 12.2 MITRE ATT&CK : T1562.001

Description : Établit des règles de conformité Intune pour assurer que tous les appareils respectent les standards de sécurité Defender.

Vérification :

  • Intune: Device compliance policies
  • Compliance reporting et non-compliant devices

Remédiation :

  1. Créer règles de conformité pour Defender activation
  2. Actions automatiques pour non-compliance
  3. Reporting régulier de conformité

Valeur par défaut : No compliance rules État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S12.1.3 — Accès conditionnel basé sur la sécurité Defender

Niveau : 🟠 Référence CIS : CIS Defender 12.3 MITRE ATT&CK : T1078

Description : Configure l’accès conditionnel Azure AD basé sur l’état de sécurité et conformité Defender des appareils.

Vérification :

  • Azure AD: Conditional Access policies
  • Device risk et compliance integration

Remédiation :

  1. Politiques d’accès conditionnel basées sur device compliance
  2. Blocage des appareils non conformes Defender
  3. Intégration avec Microsoft Defender for Endpoint risk assessment

Valeur par défaut : No conditional access based on Defender État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S12.2.1 — Automatisation des déploiements Defender

Niveau : 🟡 Référence CIS : CIS Defender 12.4 MITRE ATT&CK : N/A

Description : Automatise le déploiement et la configuration de Microsoft Defender sur les nouveaux appareils via Intune Autopilot.

Vérification :

  • Intune: Autopilot deployment profiles
  • Automatic Defender configuration during device enrollment

Remédiation :

  1. Intégrer Defender dans profils Autopilot
  2. Configuration automatique des paramètres de sécurité
  3. Validation post-déploiement automatisée

Valeur par défaut : Manual Defender configuration État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S12.2.2 — Rapports et dashboards Intune-Defender

Niveau : 🟡 Référence CIS : CIS Defender 12.5 MITRE ATT&CK : N/A

Description : Configure des rapports et dashboards unifiés pour surveiller l’état Defender via Intune.

Vérification :

  • Intune: Reports > Endpoint security
  • Defender health status across managed devices

Remédiation :

  1. Configurer rapports automatisés Defender
  2. Dashboards executifs de sécurité
  3. Alertes proactives sur problèmes de configuration

Valeur par défaut : Basic reporting only État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

SECTION S13 — QUARANTAINE ET RÉPONSE

Objectif : Configurer la gestion de la quarantaine et les procédures de réponse automatique aux menaces détectées.

Contrôles : 10 | Criticité moyenne : 🟠 Élevé

S13.1.1 — Configuration de la quarantaine automatique

Niveau : 🔴 Référence CIS : CIS Defender 13.1 MITRE ATT&CK : T1562.001

Description : Configure la quarantaine automatique des fichiers malveillants détectés selon le niveau de menace.

Vérification :

  • PowerShell: Get-MpPreference | Select-Object -Property DefaultAction
  • Actions automatiques par niveau de menace configurées

Remédiation :

  1. Set-MpPreference -LowThreatDefaultAction Quarantine
  2. Set-MpPreference -ModerateThreatDefaultAction Quarantine
  3. Set-MpPreference -HighThreatDefaultAction Quarantine

Valeur par défaut : Quarantine for most threats État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S13.1.2 — Gestion des faux positifs en quarantaine

Niveau : 🟠 Référence CIS : CIS Defender 13.2 MITRE ATT&CK : N/A

Description : Établit des procédures de gestion des faux positifs avec restauration sécurisée depuis la quarantaine.

Vérification :

  • Processus documenté de gestion des faux positifs
  • PowerShell: Get-MpThreatDetection pour révision

Remédiation :

  1. Procédure de validation avant restauration
  2. Soumission à Microsoft Security Intelligence
  3. Mise à jour des exclusions si approprié

Valeur par défaut : Manual review required État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

SECTION S14 — GESTION DES INDICATEURS DE COMPROMISSION (IOC)

Objectif : Configurer la gestion centralisée des IOCs pour améliorer la détection et le blocage des menaces connues.

Contrôles : 10 | Criticité moyenne : 🟠 Élevé

S14.1.1 — Intégration des feeds de threat intelligence

Niveau : 🟠 Référence CIS : CIS Defender 14.1 MITRE ATT&CK : T1071

Description : Intègre des feeds de threat intelligence externes pour enrichir la détection avec des IOCs actualisés.

Vérification :

  • M365 Defender: Settings > Endpoints > Indicators
  • Feeds de threat intelligence configurés et actifs

Remédiation :

  1. Configurer feeds de threat intelligence réputés
  2. Automatisation de l’import d’IOCs
  3. Validation et scoring des IOCs

Valeur par défaut : Microsoft intelligence only État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S14.1.2 — Création d’IOCs personnalisés

Niveau : 🟡 Référence CIS : CIS Defender 14.2 MITRE ATT&CK : T1071

Description : Développe des IOCs personnalisés basés sur les incidents locaux et l’intelligence de menaces spécifique.

Vérification :

  • Processus de création d’IOCs personnalisés
  • Validation et tests des IOCs créés

Remédiation :

  1. Processus formalisé de création d’IOCs
  2. Validation technique des IOCs
  3. Cycle de vie et expiration des IOCs

Valeur par défaut : No custom IOCs État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

SECTION S15 — REPORTING ET DASHBOARDS

Objectif : Établir un reporting complet et des dashboards de supervision pour le monitoring continu de Microsoft Defender.

Contrôles : 10 | Criticité moyenne : 🟡 Moyen

S15.1.1 — Dashboards de supervision opérationnelle

Niveau : 🟠 Référence CIS : CIS Defender 15.1 MITRE ATT&CK : N/A

Description : Configure des dashboards temps réel pour la supervision opérationnelle de l’état et des performances Defender.

Vérification :

  • Dashboards configurés et accessibles aux équipes
  • Métriques clés de santé système affichées

Remédiation :

  1. Power BI ou outils de reporting configurés
  2. KPIs de santé Defender en temps réel
  3. Alertes sur dégradation de service

Valeur par défaut : Basic Windows Security interface État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S15.1.2 — Rapports exécutifs mensuels

Niveau : 🟡 Référence CIS : CIS Defender 15.2 MITRE ATT&CK : N/A

Description : Génère des rapports exécutifs mensuels synthétisant l’efficacité et les incidents de sécurité Defender.

Vérification :

  • Template de rapport exécutif établi
  • Automatisation de la génération mensuelle

Remédiation :

  1. Template standardisé de rapport mensuel
  2. Automatisation via Power Automate ou scripts
  3. Distribution automatique aux stakeholders

Valeur par défaut : No executive reporting État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

SECTION S16 — SCÉNARIOS SERVEURS

Objectif : Adapter la configuration Microsoft Defender pour les environnements serveurs avec leurs contraintes spécifiques.

Contrôles : 10 | Criticité moyenne : 🟠 Élevé

S16.1.1 — Optimisation Defender pour serveurs

Niveau : 🟠 Référence CIS : CIS Defender 16.1 MITRE ATT&CK : N/A

Description : Optimise la configuration Defender pour les serveurs en équilibrant sécurité et performance critique.

Vérification :

  • Configuration spécifique serveurs documentée
  • Tests de performance avec Defender activé

Remédiation :

  1. Profils de configuration spécifiques serveurs
  2. Exclusions optimisées pour workloads serveurs
  3. Planification analyses pendant fenêtres maintenance

Valeur par défaut : Desktop configuration État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S16.1.2 — Defender pour serveurs critiques

Niveau : 🔴 Référence CIS : CIS Defender 16.2 MITRE ATT&CK : T1562.001

Description : Configure une protection renforcée pour les serveurs critiques avec surveillance 24/7.

Vérification :

  • Serveurs critiques identifiés et protégés
  • Monitoring et alerting renforcés configurés

Remédiation :

  1. Classification des serveurs par criticité
  2. Protection renforcée pour Tier 0/1
  3. Surveillance continue et alerting immédiat

Valeur par défaut : Standard server protection État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

SECTION S17 — RÉPONSE AUX INCIDENTS

Objectif : Établir des procédures de réponse aux incidents intégrant les capacités Microsoft Defender.

Contrôles : 10 | Criticité moyenne : 🔴 Critique

S17.1.1 — Playbooks de réponse automatisée

Niveau : 🔴 Référence CIS : CIS Defender 17.1 MITRE ATT&CK : N/A

Description : Développe des playbooks de réponse automatisée utilisant les capacités Defender for Endpoint et AIR.

Vérification :

  • Playbooks documentés et testés
  • Intégration avec systèmes de ticketing

Remédiation :

  1. Playbooks pour incidents types (malware, ransomware, etc.)
  2. Automatisation via Microsoft Power Automate
  3. Escalade automatique selon criticité

Valeur par défaut : Manual incident response État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S17.1.2 — Collecte forensique avec Live Response

Niveau : 🟠 Référence CIS : CIS Defender 17.2 MITRE ATT&CK : T1005

Description : Utilise les capacités Live Response de MDE pour la collecte forensique rapide lors d’incidents.

Vérification :

  • Procédures Live Response documentées
  • Formation équipes sur outils forensiques MDE

Remédiation :

  1. Scripts Live Response standardisés
  2. Formation équipes investigation
  3. Procédures de préservation des preuves

Valeur par défaut : No standardized forensic procedures État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

SECTION S18 — GOUVERNANCE ET CONFORMITÉ

Objectif : Établir la gouvernance et assurer la conformité réglementaire de l’implémentation Microsoft Defender.

Contrôles : 10 | Criticité moyenne : �� Moyen

S18.1.1 — Politiques de gouvernance Defender

Niveau : 🟠 Référence CIS : CIS Defender 18.1 MITRE ATT&CK : N/A

Description : Établit des politiques de gouvernance formelles pour la gestion et l’évolution de Microsoft Defender.

Vérification :

  • Politiques de gouvernance documentées et approuvées
  • Comité de gouvernance sécurité établi

Remédiation :

  1. Charte de gouvernance sécurité
  2. Processus de prise de décision documenté
  3. Révisions périodiques des politiques

Valeur par défaut : No formal governance État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S18.1.2 — Conformité réglementaire (RGPD, SOX, etc.)

Niveau : 🟡 Référence CIS : CIS Defender 18.2 MITRE ATT&CK : N/A

Description : Assure la conformité de l’implémentation Defender avec les réglementations applicables.

Vérification :

  • Mapping conformité réglementaire documenté
  • Audits de conformité réguliers

Remédiation :

  1. Analyse des exigences réglementaires
  2. Configuration selon requirements compliance
  3. Documentation pour audits externes

Valeur par défaut : Basic compliance considerations État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

RÉCAPITULATIF DE L’ÉVALUATION

STATISTIQUES GLOBALES

Métrique Valeur Cible Statut
Contrôles évalués ___/280 280 ☐ ✅ ☐ ⚠️
Contrôles conformes ___/280 >90% ☐ ✅ ☐ ⚠️
Criticité 🔴 Critique _/ 100% ☐ ✅ ☐ ⚠️
Criticité 🟠 Élevé _/ >95% ☐ ✅ ☐ ⚠️
Criticité 🟡 Moyen _/ >85% ☐ ✅ ☐ ⚠️
Criticité 🟢 Faible _/ >75% ☐ ✅ ☐ ⚠️

SCORE DE MATURITÉ DEFENDER

Calcul : (Contrôles Conformes × Pond. Criticité) / Total Possible

Score global : ___/100

Niveau de maturité Score Description
🟢 Optimisé 90-100 Configuration exemplaire, leadership industrie
🟡 Géré 75-89 Bonne configuration, améliorations mineures
🟠 Défini 60-74 Configuration de base, lacunes significatives
🔴 Basique <60 Configuration insuffisante, risques élevés

Niveau atteint : ________________

RÉSUMÉ EXÉCUTIF

FORCES IDENTIFIÉES

VULNÉRABILITÉS CRITIQUES

RECOMMANDATIONS PRIORITAIRES

PHASE 1 - CRITIQUE (0-30 jours)

  1. Activation protection temps réel complète

    • Contrôles S1.1.1 à S1.1.5
    • Impact: 🔴 Critique
    • Effort: Faible

  2. Déploiement règles ASR essentielles

    • Contrôles S6.1.1 à S6.1.5 (Office protection)
    • Impact: 🔴 Critique
    • Effort: Moyen

  3. Configuration protection cloud MAPS

    • Contrôles S2.1.1 à S2.1.5
    • Impact: 🔴 Critique
    • Effort: Faible

PHASE 2 - ÉLEVÉ (30-90 jours)

  1. Optimisation exclusions et gouvernance

    • Section S5 complète
    • Impact: 🟠 Élevé
    • Effort: Élevé

  2. Déploiement Defender for Endpoint

    • Section S10 complète si budget disponible
    • Impact: 🔴 Critique
    • Effort: Élevé

  3. Protection réseau avancée

    • Section S7 complète
    • Impact: 🟠 Élevé
    • Effort: Moyen

PHASE 3 - OPTIMISATION (90+ jours)

  1. Intégration SIEM et automatisation

    • Reporting et dashboards (S15)
    • Impact: 🟡 Moyen
    • Effort: Élevé

  2. Gouvernance et conformité

    • Section S18 complète
    • Impact: 🟡 Moyen
    • Effort: Moyen

MAPPING MULTI-FRAMEWORKS

CORRESPONDANCES CIS CONTROLS V8

CIS Control Sections ANC Criticité
CIS 1 - Inventory S10.2.2, S12.1.1 🟠
CIS 3 - Data Protection S8.1.1, S8.2.1 🔴
CIS 6 - Access Control S11.1.1, S12.1.3 🔴
CIS 8 - Audit Logs S1.4.5, S15.1.1 🟠
CIS 10 - Malware Defense S1-S6 (toutes) 🔴
CIS 11 - Data Recovery S8.2.1 🟠
CIS 16 - App Security S6 (ASR), S9 🔴

CORRESPONDANCES NIST CYBERSECURITY FRAMEWORK

NIST Function Sections ANC Couverture
IDENTIFY (ID) S10.3.1 (TVM), S15 🟡 Partielle
PROTECT (PR) S1-S12 (toutes) 🟢 Complète
DETECT (DE) S1, S6, S7, S10 🟢 Complète
RESPOND (RS) S10.1.3, S17 🟠 Bonne
RECOVER (RC) S13, S17.1.2 🟡 Partielle

CORRESPONDANCES MITRE ATT&CK

Techniques couvertes par ce checklist : 45+ techniques

Tactiques principales adressées :

  • Initial Access: T1566 (Phishing) - Sections S2, S6, S7
  • Execution: T1059 (Scripts) - Section S6
  • Defense Evasion: T1562 (Disable Security) - Sections S1, S11
  • Impact: T1486 (Ransomware) - Sections S6, S8

PLAN DE REMÉDIATION

MODÈLE DE GOUVERNANCE

BUDGET ESTIMATIF

Élément Coût estimé Commentaire
Microsoft Defender for Endpoint €X/user/mois Si non disponible
Formation équipes €X 2-3 jours par personne
Outils complémentaires €X SIEM, dashboards, etc.
Consulting externe €X Si expertise manquante
TOTAL Phase 1 €X
TOTAL Projet €X

ANNEXES

RESSOURCES ET RÉFÉRENCES

DOCUMENTATION MICROSOFT OFFICIELLE

STANDARDS DE SÉCURITÉ

  • CIS Microsoft Windows Defender Antivirus Benchmark v1.0.0
  • NIST Cybersecurity Framework v1.1
  • MITRE ATT&CK Framework
  • ISO 27001:2013 Annex A.12 (Operations Security)

OUTILS D’ÉVALUATION RECOMMANDÉS

  • Microsoft Security Compliance Toolkit (SCT)
  • Microsoft Defender for Endpoint Evaluation Lab
  • CIS-CAT Pro Assessor

CONTACTS AYI NEDJIMI CONSULTANTS

Support technique : support@ayinedjimi-consultants.fr
Hotline sécurité : +33 X XX XX XX XX
Site web : www.ayinedjimi-consultants.fr

© 2026 AYI NEDJIMI CONSULTANTS - Tous droits réservés

Ce document est confidentiel et propriétaire. Toute reproduction ou distribution non autorisée est strictement interdite.

Version : 1.0
Date : 04 avril 2026
Pages : ~280 contrôles répartis sur ~8000 lignes
Classification : CONFIDENTIEL

FIN DU CHECKLIST

📋 Autres checklists

🏢
Active Directory
106 contrôles
 ☁️
Azure Cloud
23 contrôles
 🌐
Chrome Enterprise
243 contrôles
 📧
Google Workspace
41 contrôles

Toutes nos checklists sécurité

Retrouvez l'ensemble de nos 11 checklists d'audit et de durcissement professionnelles.

Voir toutes les checklists