Gestion de la posture de sécurité avec Azure Security Benchmark

Gestion de la posture de sécurité avec Azure Security Benchmark

14/06/2025

Cet article technique et pédagogique vise à guider les analystes de sécurité, les administrateurs informatiques et les ingénieurs système dans l’utilisation d’Azure Security Benchmark (ASB) pour gérer et améliorer la posture de sécurité de leurs environnements Azure. Dans un paysage cloud en constante évolution, garantir que les ressources sont configurées de manière sécurisée et conforme aux meilleures pratiques constitue un défi permanent. ASB, en collaboration avec Microsoft Defender for Cloud, fournit un cadre complet pour évaluer, surveiller et améliorer la sécurité de vos charges de travail cloud [1].

Présentation

La sécurité du cloud est une responsabilité partagée entre le fournisseur de cloud (Microsoft) et le client. Bien que Microsoft protège l'infrastructure sous-jacente, la sécurité des données, des applications et des configurations réseau au sein de votre environnement relève de votre responsabilité. La complexité des services cloud et la rapidité du changement peuvent rendre difficile le maintien d’une posture de sécurité robuste et cohérente. Les mauvaises configurations, les vulnérabilités non corrigées et le manque de visibilité sont des vecteurs d'attaque courants pouvant conduire à des failles de sécurité [2].

L'Azure Security Benchmark (ASB) est un ensemble de directives de sécurité spécifiques à Azure, développées par Microsoft, qui intègre les meilleures pratiques de sécurité et les recommandations de conformité des principaux cadres du secteur tels que le CIS (Center for Internet Security) et le NIST (National Institute of Standards and Technology). Il constitue une base pour la protection de vos ressources cloud, couvrant des domaines tels que la sécurité du réseau, la gestion des identités, la protection des données, la gestion des vulnérabilités, etc. Microsoft Defender for Cloud (anciennement Azure Security Center) est le principal outil d'évaluation et de surveillance de la conformité ASB [3].

Ce guide pratique couvrira les conditions préalables, les concepts ASB, comment utiliser Microsoft Defender pour Cloud pour évaluer la conformité ASB, interpréter les recommandations de sécurité, remédier aux échecs, configurer les exceptions et surveiller le score de sécurité. Des instructions étape par étape, des exemples pratiques et des explications concises seront fournis afin que le lecteur puisse implémenter, tester et valider ces fonctionnalités. De plus, des conseils de sécurité, des contrôles de conformité et des bonnes pratiques seront abordés pour garantir que votre posture de sécurité dans Azure est continuellement améliorée, de manière autonome, professionnelle et fiable.

Pourquoi Azure Security Benchmark est-il crucial pour votre posture de sécurité ?

  • Directives complètes : fournit un ensemble détaillé de recommandations de sécurité pour les services Azure, couvrant tous les aspects de la sécurité du cloud.
  • Alignement avec les normes de l'industrie : basé sur des cadres de sécurité mondialement reconnus, garantissant que vos pratiques de sécurité sont alignées sur les meilleures pratiques.
  • Évaluation continue : intégré à Microsoft Defender pour Cloud, offre une évaluation continue de la conformité ASB et identifie les écarts.
  • Recommandations exploitables : fournit des recommandations claires et des étapes correctives pour résoudre les problèmes de sécurité et améliorer la posture.
  • Secure Score Monitoring : permet de visualiser et de suivre les progrès réalisés dans l'amélioration de la sécurité grâce à une mesure quantifiable (Secure Score).
  • Conformité réglementaire : facilite la conformité à diverses exigences de conformité en mappant les contrôles ASB aux normes réglementaires.

Prérequis

Pour gérer votre posture de sécurité avec Azure Security Benchmark, vous aurez besoin des éléments suivants :

  1. Abonnement Azure actif : un abonnement Azure avec des ressources déployées.
  2. Accès administrateur : un compte avec le rôle de « Propriétaire », « Contributeur » ou « Administrateur de sécurité » sur l'abonnement ou le groupe de ressources.
  3. Microsoft Defender pour Cloud activé : Defender pour Cloud doit être activé dans votre abonnement pour fournir des évaluations et des recommandations de sécurité. Le forfait gratuit propose déjà ASB [4].

Étape par étape : Gérer la posture de sécurité avec Azure Security Benchmark

Activons Security Center, évaluons la conformité ASB et corrigeons les recommandations.

1. Activation de Microsoft Defender pour le Cloud et Azure Security BenchmarkASB est automatiquement inclus dans Security Center. Si Defender pour Cloud est déjà activé, ASB est déjà en cours d’évaluation.

  1. Ouvrez votre navigateur et accédez au portail Azure : « https://portal.azure.com ».
  2. Connectez-vous avec un compte disposant des autorisations nécessaires.
  3. Dans le champ de recherche supérieur, tapez « Microsoft Defender for Cloud » et sélectionnez-le dans les résultats.
  4. Sur la page de présentation de Security Center, vérifiez que votre abonnement est intégré. Sinon, suivez les instructions pour intégrer votre abonnement.
  5. Dans le volet de navigation de gauche, sélectionnez Paramètres d'environnement.
  6. Sélectionnez la signature que vous souhaitez protéger.

  7. Sur la page des forfaits Defender, assurez-vous que le plan « Basic Cloud Security » (qui inclut ASB) est « activé ».

    • Explication : Le plan de base Defender pour Cloud fournit gratuitement une évaluation de l’état de sécurité, y compris les recommandations Azure Security Benchmark. Les forfaits payants (tels que Defender for Servers, Defender for Storage) ajoutent une protection de la charge de travail (CWPP).

2. Évaluation de la conformité avec Azure Security Benchmark

Defender for Cloud affiche la conformité ASB via le tableau de bord de conformité réglementaire.

  1. Dans le volet de navigation gauche de Defender pour Cloud, sélectionnez Conformité réglementaire.
  2. Sur le tableau de bord, vous verrez « Azure Security Benchmark » répertorié comme l'une des normes de conformité.

  3. Cliquez sur « Azure Security Benchmark » pour afficher vos détails de conformité.

    • Explication : ce tableau de bord affiche un aperçu de votre conformité ASB, y compris le nombre de contrôles réussis, combien d'échecs et combien nécessitent une intervention manuelle. Vous pouvez explorer les contrôles pour voir des recommandations spécifiques.

3. Interprétation et correction des recommandations de sécurité

Les recommandations constituent la base de l’amélioration de votre posture de sécurité.

  1. Dans le volet de navigation gauche de Defender pour Cloud, sélectionnez Recommandations.
  2. Les recommandations sont regroupées par « Contrôle de sécurité ». Vous pouvez filtrer par « Standard » = « Azure Security Benchmark ».
  3. Recherchez une recommandation avec « Statut » = « Malsain » (par exemple « Les ports de gestion doivent être limités aux plages IP de confiance »).

  4. Cliquez sur la recommandation pour voir les détails :

    • Description : explique le problème de sécurité.
    • Étapes de résolution : fournit des instructions étape par étape pour corriger le problème. De nombreuses recommandations proposent une option « Réparer » en un seul clic ou un script d'automatisation.
    • Ressources concernées : répertorie toutes les ressources (VM, comptes de stockage, réseaux, etc.) qui ne sont pas conformes.
    • Normes de conformité : indique les contrôles ASB (et autres normes) visés par cette recommandation.

  5. Correction d'une recommandation (exemple : restreindre les ports de gestion) :

    • Pour la recommandation « Les ports de gestion doivent être limités aux plages IP approuvées », cliquez sur les ressources concernées.
    • Pour chaque fonctionnalité, vous pouvez cliquer sur « Réparer » ou suivre les instructions manuelles pour configurer un groupe de sécurité réseau (NSG) qui restreint l'accès aux ports RDP/SSH à des adresses IP spécifiques et fiables.

    • Exemple de commande Azure CLI pour mettre à jour NSG : bash az network nsg mise à jour des règles \ --resource-group <nom_groupe_ressource> \ --nsg-name <nsg_name> \ --name <rdp_ssh_rule_name> \ --source-address-prefixes <votre_trust_ips> \ --destination-port-ranges 3389 # ou 22

    • Explication : Après la correction, Security Center réévaluera la ressource. Si le correctif réussit, l'état de la ressource passera à « Sain » et son score de sécurité sera mis à jour.

4. Configuration des exceptions pour les recommandations

Dans certains cas, une recommandation peut ne pas être applicable à une ressource spécifique, ou il peut y avoir une justification commerciale pour ne pas y remédier immédiatement. Vous pouvez créer une exception.

  1. Sur la page de détails d'une recommandation, cliquez sur ... (plus d'options) et sélectionnez Créer une exception.
  2. Créer une exception :
    • Portée : indiquez si l'exception s'applique à l'intégralité de l'abonnement, à un groupe de ressources ou à une ressource spécifique.
    • Raison : Sélectionnez la raison de l'exception (par exemple, « Risque accepté », « Atténué par le contrôle d'un tiers »).
    • Date d'expiration : Définissez une date d'expiration pour l'exception.
    • Commentaire : Fournir une justification détaillée de l'exception.

  3. Cliquez sur Créer.

    • Explication : Les exceptions doivent être utilisées avec prudence et documentées. Ils suppriment la recommandation de votre score de sécurité, mais le risque sous-jacent existe toujours. Examinez régulièrement les exceptions.

5. Surveillance du score de sécurité

Le score de sécurité est une mesure quantifiable de votre niveau de sécurité.

  1. Dans le volet de navigation gauche de Defender pour Cloud, sélectionnez Présentation.
  2. « Secure Score » est affiché bien en évidence, indiquant votre score actuel et votre potentiel d'amélioration.

  3. Cliquez sur « Score sécurisé » pour afficher les détails, y compris les recommandations qui contribuent le plus à l'amélioration du score.

    • Explication : Le score de sécurité est calculé en fonction du pourcentage de recommandations de sécurité que vous avez résolues. Donnez la priorité aux recommandations qui ont un plus grand impact sur votre score et qui sont les plus critiques pour votre environnement.

Validation et tests

Il est essentiel de valider que les mesures correctives fonctionnent et que votre niveau de sécurité s'améliore.

1. Vérification de la correction des recommandations

  1. Scénario : après avoir appliqué une mesure corrective pour une recommandation (par exemple, restreindre les ports de gestion), attendez quelques minutes que Security Center réévalue la ressource.
  2. Action attendue : l'état de la ressource pour cette recommandation doit passer de « Malsain » à « Sain ».
  3. Vérification :
    • Accédez à Microsoft Defender pour Cloud > Recommandations.
    • Filtrez par la recommandation que vous avez corrigée et vérifiez l'état des ressources affectées.

2. Suivi de l'évolution du Secure Score

  1. Scénario : Après avoir corrigé plusieurs recommandations, observez l'évolution de votre score de sécurité au fil du temps.
  2. Action attendue : votre score de sécurité devrait augmenter, reflétant l'amélioration de votre posture de sécurité.
  3. Vérification :
    • Accédez à Microsoft Defender for Cloud > Présentation et consultez le graphique de tendance « Secure Score ».

Conseils de sécurité et bonnes pratiques

  • Donner la priorité aux recommandations critiques : concentrez-vous d'abord sur les recommandations qui ont le plus grand impact sur votre score de sécurité et qui répondent aux risques les plus critiques pour votre environnement.
  • Automatiser la correction : utilisez les options « Corriger » en un clic ou des scripts d'automatisation (Azure Policy, Azure Automation) pour corriger les recommandations à grande échelle.
  • Intégrer à Azure Policy : utilisez Azure Policy pour appliquer la conformité ASB, en garantissant que les nouvelles ressources sont déjà déployées en conformité et que les ressources existantes ne s'écartent pas des politiques.
  • Révision régulière : examinez régulièrement les recommandations de sécurité, les exceptions et la notation sécurisée pour maintenir une posture de sécurité proactive.
  • Conscience de l'équipe : assurez-vous que les équipes de développement et d'exploitation sont conscientes des recommandations de l'ASB et de la manière dont leurs actions affectent la posture de sécurité.
  • Défendez le cloud avec des forfaits payants : bien qu'ASB soit gratuit, envisagez d'activer les forfaits payants Defender pour Cloud (par exemple, Defender pour les serveurs, Defender pour le stockage, Defender pour SQL) pour bénéficier d'une protection de la charge de travail (CWPP) et d'une détection avancée des menaces.

Dépannage courant

  • Les recommandations ne sont pas mises à jour après la correction :
    • La réévaluation des ressources et la mise à jour de l'état peuvent prendre un certain temps à Security Center. Attendez quelques minutes et actualisez la page.
    • Vérifiez que la correction a été appliquée correctement. Parfois, les instructions de remédiation peuvent contenir des détails spécifiques qui doivent être suivis avec précision.
    • Vérifiez les journaux d'activité Azure pour confirmer que la modification a été appliquée à la ressource.
  • Le score de sécurité n'augmente pas :
    • Le score sécurisé reflète le pourcentage de recommandations résolues. Si vous n’avez corrigé que quelques recommandations à faible impact, l’augmentation pourrait être minime.
    • Assurez-vous qu'il n'y a pas de nouvelles recommandations « malsaines » qui compensent vos mesures correctives.
  • Les ressources n'apparaissent pas dans les recommandations :
    • Vérifiez que Security Center est activé pour l'abonnement où se trouvent les ressources.
    • Assurez-vous que les fonctionnalités sont prises en charge par Security Center et ASB.
    • Il peut y avoir un retard dans la découverte de nouvelles ressourcescours via Defender pour Cloud.
  • Questions sur une recommandation spécifique :
    • Consultez la documentation officielle Azure Security Benchmark sur Microsoft Learn pour plus de détails sur chaque contrôle et recommandation.
    • Utilisez l'option « Feedback » dans le portail Azure pour envoyer des questions ou des commentaires à Microsoft.

Conclusion

Azure Security Benchmark, en conjonction avec Microsoft Defender for Cloud, est un outil indispensable pour toute organisation cherchant à maintenir une posture de sécurité robuste et conforme dans Azure. En fournissant un cadre clair de bonnes pratiques et une plateforme d'évaluation et de remédiation continues, il permet aux équipes de sécurité d'identifier et de résoudre de manière proactive les failles de sécurité. L'adoption et la maintenance active de l'ASB sont essentielles pour protéger vos actifs cloud contre les cybermenaces et garantir l'intégrité de vos opérations. Avec ce guide pratique, les professionnels de la sécurité et les administrateurs informatiques seront bien équipés pour configurer, valider et gérer la posture de sécurité de leurs environnements Azure de manière autonome, professionnelle et fiable.

Références :

[1] Microsoft Apprendre. Présentation d'Azure Security Benchmark v3. Disponible sur : https://learn.microsoft.com/pt-br/security/benchmark/azure/overview-v3 [2] Microsoft Apprendre. Contrôle de sécurité v3 : Gestion de la posture et des vulnérabilités. Disponible sur : https://learn.microsoft.com/pt-br/security/benchmark/azure/security-controls-v3-posture-vulnerability-management [3] Microsoft Apprendre. Qu'est-ce que Microsoft Defender pour le Cloud ?. Disponible sur : https://learn.microsoft.com/pt-br/azure/defender-for-cloud/defender-for-cloud-introduction [4] Microsoft Apprendre. Améliorer la conformité réglementaire - Azure. Disponible sur : https://learn.microsoft.com/pt-br/azure/defender-for-cloud/regulatory-compliance-dashboard [5] Microsoft Apprendre. Score de sécurité de Defender for Cloud. Disponible sur : https://learn.microsoft.com/pt-br/azure/defender-for-cloud/secure-score-security-controls [6] Microsoft Apprendre. Recommandations correctives - Microsoft Defender pour Cloud. Disponible sur : https://learn.microsoft.com/pt-br/azure/defender-for-cloud/implement-security-recommendations [7] Microsoft Apprendre. Consultez les recommandations de sécurité – Azure. Disponible sur : https://learn.microsoft.com/pt-br/azure/defender-for-cloud/review-security-recommendations