Lacunes communes et risques de conformité NIST dans la gestion des documents Dynamics 365

Garantir Conformité NIST devient de plus en plus critique pour les organisations qui traitent des données et des documents sensibles, en particulier parce que la conformité est de plus en plus importante. souvent une condition préalable à l'éligibilité au contrat.

Un an s'est écoulé depuis la publication de Cadre de cybersécurité du NIST v. 2.0qui, selon Kevin StineIl a été élaboré en étroite collaboration avec les parties prenantes et tient compte des défis les plus récents en matière de cybersécurité et des pratiques de gestion. Il aidera les organisations, les secteurs et même des nations entières à mieux comprendre et gérer leurs risques en matière de cybersécurité.

Cependant, de nombreuses organisations utilisant Dynamics 365 pour la gestion des documents rencontrent encore des difficultés pour répondre aux exigences clés du NIST, en particulier celles décrites dans le document intitulé NIST SP 800-171 et SP 800-53.

L'une des principales raisons de ce décalage est que les configurations Dynamics 365 par défaut ne répondent pas toujours aux normes de conformité du NIST. Il s'agit d'un problème non seulement en termes de conformité, mais aussi parce que les organisations peuvent, sans le savoir, présenter des lacunes en matière de sécurité.

Pourquoi ces configurations ne sont-elles pas conformes au NIST ? Les questions clés en Dynamics 365 sont :

• Permissions d'accès excessives entraînant accès incontrôlé aux fichiers
• Mécanismes d'authentification faibles l'exposition de documents à des utilisateurs non autorisés
• Absence d'enregistrement d'audit appropriéla difficulté de détecter les incidents et de mener des enquêtes

La bonne nouvelle, c'est que les entreprises peuvent éviter efficacement ces risques grâce à une configuration proactive et à un effort coordonné entre les équipes chargées de la sécurité, de la conformité et de l'informatique.

Cet article se concentre sur la manière de procéder dans l'environnement Dynamics 365.. Nous aborderons les sujets suivants :

NIST établit des lignes directrices en matière de cybersécurité pour protéger les informations non classifiées contrôlées (CUI) et pour les organisations qui traitent ces informations.

Si votre organisation utilise Microsoft Dynamics 365 pour la gestion des documents, il convient d'examiner en particulier les points suivants :

• NIST SP 800-171 (Traitement sécurisé des données gouvernementales non classifiées)
• NIST SP 800-53 (Contrôles de sécurité et de confidentialité pour les systèmes des entreprises fédérales et privées)
• NIST SP 800-207 (Zero Trust Architecture - ZTA - Application de l'authentification permanente et de l'accès au moindre privilège)

Comme nous l'avons mentionné précédemment, malgré les paramètres de sécurité intégrés de Microsoft, de nombreuses configurations prêtes à l'emploi dans Dynamics 365 ne sont pas entièrement alignées sur les contrôles NIST, ce qui entraîne des risques potentiels en matière de conformité.

Vous trouverez ci-dessous les Principaux risques de non-conformité en Dynamics 365:

• Accès abusif- Les rôles d'utilisateur confèrent des privilèges excessifs, ce qui constitue une violation des règles de l'Union européenne en matière de droits de l'homme. Le moindre privilège (NIST SP 800-53 AC-6 "Employer le principe du moindre privilège, en n'accordant aux utilisateurs que les accès autorisés nécessaires à l'accomplissement des tâches organisationnelles qui leur sont assignées"). Le fait que les privilèges ne soient pas mis à jour lorsque cela est nécessaire constitue également un problème, car cela va à l'encontre de la norme AC-6 (7) "La nécessité de certains privilèges attribués à l'utilisateur peut changer au fil du temps"

• Absence de microsegmentation - La microsegmentation est une mesure de sécurité essentielle dans les intégrations Dynamics 365 et SharePoint. Sans microsegmentation, les utilisateurs accèdent souvent inutilement à des documents dont la portée n'est pas prévue. Pour en savoir plus, nous vous recommandons de lire cet article sur la microsegmentation dans une intégration Dynamics 365 et SharePoint.
• Conservation des données - Bien que le NIST ne fixe pas de délais précis, le contrôle NIST SP 800-53 SI-12 "Information System Logging" exige que les organisations "gèrent et conservent les informations au sein du système et les informations issues du système conformément aux lois, ordres exécutifs, directives et réglementations applicables".
• Pas d'authentification multifactorielle (MFA) - De nombreux environnements Dynamics 365 reposent encore uniquement sur l'authentification par mot de passe. Cependant, NIST SP 800-171 (3.5.3) rend obligatoire l'AMF pour l'accès administratif et la connexion à distance, tandis que l'AMF est obligatoire pour l'accès à l'Internet et la connexion à distance. NIST SP 800-53 IA-2 exige l'AMF pour renforcer la vérification de l'identité dans tous les systèmes. L'AMF est également un pilier central de la sécurité zéro confiance.
• Journaux d'audit incomplets - Un manque de suivi complet de l'activité des fichiers en Dynamics 365, il est difficile d'atteindre les objectifs de la NIST AU-2, AU-12 et AU-14 (contrôles de l'enregistrement des audits)) et crée des failles de sécurité qui peuvent conduire à des violations non détectées et à des pénalités de conformité. La liste de contrôle 1169 du NIST impose la journalisation automatisée de toutes les tentatives d'accès, de toutes les modifications et de tous les échecs d'autorisation. Pour garantir l'intégrité des journaux d'audit, les organisations doivent déployer des solutions avancées telles que Truth Enforcer. Ces solutions doivent comporter des mécanismes de vérification de l'authenticité.

Le fait de ne pas traiter ces questions augmente les risques de sécurité dans Dynamics 365 et entraîne des lacunes dans la conformité NIST.

Le scénario suivant illustre les défaillances de conformité les plus courantes concernant Dynamics 365 et le contrôle d'accès aux documents :

Scénario : Contrôle d'accès d'une entreprise de services financiers

• Une société de services financiers utilisant Dynamics 365 et SharePoint n'a pas appliqué la microsegmentation, ce qui a permis un large accès interne à des données confidentielles.
• Les dossiers financiers étaient accessibles aux employés en dehors des services comptables et juridiques.
• L'entreprise a échoué à un audit de conformité NIST.
• Résultat: L'entreprise a perdu un contrat fédéral de plusieurs millions de dollars en raison du non-respect de la réglementation.

Ce scénario est hypothétique, mais il reflète des problèmes et des situations réelles. souligne pourquoi il est essentiel de sécuriser l'accès aux documents dans Dynamics 365 pour les entreprises qui traitent les données réglementées ou sensibles. Au-delà de la perte de contrats, le fait de ne pas sécuriser l'accès aux documents dans Dynamics 365 peut nuire à la réputation et à l'image de l'entreprise. sanctions financières dans le cadre d'autres normes réglementaires telles que le GDPR.  

Garantir La sécurité du Dynamics 365 est conforme aux exigences du NIST nécessite une atténuation proactive des risques.

Solutions clés pour la conformité NIST en Dynamics 365

En mettant en œuvre ces solutionsles organisations peuvent réduire les risques et protéger les informations non classifiées et contrôlées (CUI) dans Dynamics 365.

Bien que le Dynamics 365 offre de puissantes capacités, ses configurations par défaut ne sont pas entièrement conformes aux cadres de contrôle de sécurité du NIST. Sans une surveillance proactive, les organisations sont confrontées à des risques réels : violations de données, échecs d'audits et perte de contrats fédéraux.

La bonne nouvelle : avec les bons outils et une coordination entre les équipes, il est tout à fait possible de combler les lacunes, de réduire les risques et de répondre en toute confiance aux exigences du NIST en matière de gestion des documents dans le cadre du programme Dynamics 365.

Les principaux aspects à prendre en compte sont les suivants :

• Contrôle rigoureux de l'accès, rendu possible par l'application du principe du moindre privilège, de la microsegmentation et de l'authentification multifactorielle, afin d'empêcher l'exposition de données non autorisées. S'assurer que les contrôles d'accès restent cohérents entre Dynamics 365 et Microsoft 365, réduisant ainsi le risque de non-conformité dû aux éléments suivants autorisations mal alignées.
• Visibilité et traçabilité, grâce à des enregistrements d'audit robustes, à une classification cohérente et à des politiques de conservation automatisées.

Votre configuration de sécurité des documents Dynamics 365 est-elle conforme aux normes NIST ? Si ce n'est pas le cas, la première étape consiste à utiliser notre liste de contrôle pour découvrir les problèmes que vous pourriez rencontrer.