Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
La sécurité est une discipline complexe et exigeante que vous devez prendre en compte dans presque tous les aspects de vos environnements cloud et technologiques. Ayez à l’esprit les points clés suivants :
- Tout est un vecteur potentiel de cible ou d’attaque : dans le paysage actuel, les cyber-attaques peuvent exploiter les vulnérabilités des personnes, des processus et des technologies d’une organisation pour atteindre leurs objectifs malveillants.
- Les applications métier sont confrontées à des défis de sécurité uniques : les applications métier sont confrontées à des défis de sécurité uniques qui s’étendent à tous les secteurs.
- La sécurité nécessite un travail d’équipe : la défense contre les cyberattaques nécessite un effort coordonné entre les équipes commerciales, technologiques et de sécurité. Chaque équipe doit contribuer activement aux initiatives de sécurité et collaborer efficacement.
Ces conseils de sécurité d’adoption de Power Platform font partie d’un ensemble plus vaste de conseils de sécurité Microsoft conçus pour aider les différentes équipes à comprendre et à assumer leurs responsabilités en matière de sécurité :
- Les conseils de sécurité sur l’adoption de Power Platform fournissent des conseils de sécurité aux équipes qui gèrent des environnements Power Platform.
- Les conseils de sécurité Well-Architected pour Power Platform fournissent des conseils aux propriétaires de charges de travail individuels sur la manière d’appliquer les meilleures pratiques de sécurité au développement de charges de travail et aux processus DevOps et DevSecOps.
- La méthodologie Azure Cloud Adoption Framework Secure fournit des conseils en matière de sécurité aux équipes qui gèrent l’infrastructure technologique qui prend en charge l’ensemble des charges de travail, du développement et des opérations hébergées sur Azure.
- Le benchmark Microsoft Cloud Security fournit des conseils sur les meilleures pratiques aux parties prenantes pour garantir une sécurité du cloud robuste.
- La documentation sur la sécurité et la gouvernance de Power Platform vous fournit des informations sur la configuration et la gestion des fonctionnalités de sécurité et de gouvernance pour Power Platform.
Tout au long de votre parcours d’adoption de Power Platform, recherchez des opportunités d’améliorer votre posture de sécurité globale grâce à la modernisation.
Évaluer le score de sécurité et agir en fonction des recommandations
La page Sécurité du Centre d’administration Power Platform vous aide à découvrir et à parcourir la gamme de fonctionnalités fournies par la sécurité gérée. Commencez par afficher et gérer les tâches de sécurité, évaluer la posture de sécurité de votre client et mettre en œuvre des stratégies proactives en matière de sécurité réseau, de contrôle d’accès, de conformité et de détection des menaces. Évaluez la posture de sécurité de votre organisation avec le score de sécurité, illustré sur une échelle qualitative (faible, moyen, élevé). Ensuite, agissez sur la base de recommandations personnalisées pour améliorer le score de sécurité de votre locataire en configurant des garde-fous de sécurité proactifs et réactifs, classés par ordre de priorité par niveau de risque.
La page Sécurité fournit un emplacement centralisé pour afficher et gérer les recommandations de sécurité, évaluer votre score de sécurité et mettre en œuvre des stratégies proactives pour protéger votre organisation.
Les administrateurs peuvent :
- Évaluer le score de sécurité : comprenez et améliorez les politiques de sécurité de l’organisation avec le score de sécurité. Ce score est illustré sur une échelle qualitative (faible, moyen ou élevé) et vous aide à mesurer votre position de sécurité organisationnelle pour les charges de travail Power Platform.
- Agir sur les recommandations : identifiez et mettez en œuvre les recommandations pertinentes générées par le système sur la base des meilleures pratiques pour améliorer le score de sécurité de votre client.
- Gérer les stratégies proactives : gérez les stratégies proactives pour la gouvernance et la sécurité.
Adoptez le Zero Trust comme stratégie
L’adoption de Confiance zéro en tant que stratégie vous aide à commencer votre parcours d’adoption Power Platform avec une approche moderne de la sécurité en place. L’approche Confiance zéro repose sur trois principes :
- Vérifier explicitement. Authentifiez et autorisez toujours en fonction de tous les points de données disponibles.
- Utiliser le moindre privilèges. Limitez l’accès des utilisateurs avec le juste-à-temps et l’accès juste assez (JIT/JEA), les stratégies adaptatives basées sur les risques et la protection des données.
- Supposer une violation. Réduisez le rayon d’explosion et segmentez l’accès. Vérifiez le chiffrement de bout en bout et utilisez l’analytique pour obtenir une visibilité sur les activités liées à vos systèmes, détecter les menaces et améliorer les défenses.
Microsoft fournit un plan de modernisation de la sécurité basé sur la Confiance zéro que les organisations peuvent utiliser comme guide.
Activer les fonctionnalités de sécurité gérées
La sécurité gérée est une suite de fonctionnalités Premium qui offre une protection avancée et permet aux administrateurs de sécurité de gérer et de sécuriser efficacement l’accès aux données et aux ressources des clients. Il rassemble les capacités les plus avancées de Microsoft en matière de protection contre les menaces, de protection des données et de la confidentialité, de gestion des identités et des accès, ainsi que de conformité pour aider les clients à relever les défis actuels en matière de cybersécurité.
Nous vous recommandons d’évaluer et d’activer les fonctionnalités de sécurité managées pour améliorer votre posture de sécurité.
Cycle de vie du développement de la sécurité
Établissez un cycle de vie de développement de la sécurité (SDL) pour le développement Power Platform afin de vous assurer que la sécurité est intégrée à chaque phase du processus de développement. SDL implique une série de pratiques et de procédures conçues pour identifier et atténuer les risques de sécurité, depuis les phases initiales de conception jusqu’au déploiement et à la maintenance. En intégrant les considérations de sécurité dès le début et tout au long du cycle de développement, vous pouvez traiter de manière proactive les vulnérabilités potentielles, réduire le risque de failles de sécurité et garantir la conformité aux exigences réglementaires.
En savoir plus : Recommandations pour sécuriser un cycle de vie de développement
Training
Offrez une formation en sécurité aux créateurs et aux développeurs pour les aider à créer des solutions Power Platform sécurisées et résilientes face aux menaces. Cette formation doit couvrir les meilleures pratiques en matière de codage sécurisé, de protection des données et de conformité aux normes réglementaires. En éduquant les créateurs et les développeurs sur les risques de sécurité potentiels et sur la manière de les atténuer, vous favorisez une culture de sensibilisation et de responsabilité en matière de sécurité. La formation doit inclure des exercices pratiques, des scénarios réels et des mises à jour régulières pour suivre le rythme de l’évolution des menaces.
- Améliorez les formations existantes Power Platform en ajoutant des informations sur la façon de créer des solutions sécurisées.
- Informez les utilisateurs sur votre stratégie d’environnement et de stratégie de données et sur toutes les autres configurations susceptibles d’avoir un impact sur leurs solutions et fournissez des conseils sur la façon de demander des modifications.
- Incluez des informations sur les phases du cycle de vie du développement de la sécurité (SDL) et sur ce que les utilisateurs doivent savoir pour assurer la sécurité de leurs solutions.
- Expliquez aux utilisateurs comment vous allez travailler ensemble pour progresser à travers chaque phase.
Il est important de disposer d’une source centrale, telle qu’un site ou wiki SharePoint, où les créateurs peuvent facilement accéder à ce contenu de formation. Grâce à un référentiel centralisé, tous les membres de l’équipe disposent d’informations cohérentes et à jour, ce qui facilite la découverte et la référence des directives et des ressources de sécurité. Donner aux créateurs et aux développeurs les connaissances et les outils dont ils ont besoin permet de protéger les données et les applications de votre organisation.
Préparation et réponse aux incidents
Établissez un plan complet d’intervention en cas d’incident qui décrit les procédures d’identification, de gestion et d’atténuation des incidents de sécurité. Ce plan doit comprendre des rôles et des responsabilités clairs, des protocoles de communication et des mesures de confinement, d’éradication et de rétablissement. Des formations et des simulations régulières permettent de s’assurer que tous les membres de l’équipe connaissent le plan et peuvent réagir efficacement en cas d’incident. En outre, tenez à jour des journaux détaillés et des pistes d’audit pour enquêter sur les incidents et comprendre leur impact. En étant bien préparé et en mettant en place une stratégie robuste de réponse aux incidents, vous pouvez minimiser les dommages causés par les failles de sécurité et rétablir rapidement les opérations normales.
Intégrez Power Platform à vos pratiques d’opérations de sécurité (SecOps) pour améliorer la sécurité et la conformité de vos solutions low-code/no-code.
En savoir plus : Recommandations pour la réponse aux incidents de sécurité
Amélioration continue
Le parcours vers une posture de sécurité moderne et robuste ne s’arrête pas à la mise en œuvre initiale. Pour faire face aux nouvelles menaces, examinez et affinez continuellement vos pratiques de sécurité tout en respectant strictement les normes. L’amélioration continue est essentielle au maintien d’une posture de sécurité robuste, car les cybermenaces évoluent et deviennent de plus en plus sophistiquées. Pour vous protéger contre ces risques en constante évolution, assurez-vous d’apporter des améliorations continues.
Étapes suivantes
Consultez les articles détaillés de cette série pour améliorer votre posture de sécurité :
- Détecter les menaces qui pèsent sur votre organisation
- Établir des contrôles de protection des données et de confidentialité
- Implémenter une stratégie de stratégie de données
- Configurer la gestion des identités et des accès
- Répondre aux exigences de conformité
- Sécuriser l’environnement par défaut
Après avoir passé en revue les articles, consultez la liste de contrôle de sécurité pour garantir que les déploiements Power Platform sont robustes, résilients et conformes aux meilleures pratiques.