Guide

Microsoft Security, Compliance, and Identity Fundamentals

Dernière révision : mai 2026

Une référence concise des modèles d'architecture évalués par l'examen SC-900. Lisez de haut en bas ou sautez à une section.

Décrire les concepts de sécurité, de conformité et d'identité

Mettre en œuvre un modèle de sécurité qui suppose une violation et exige une vérification pour chaque requête.

Adopter le modèle de sécurité Zero Trust.

Pourquoi: Opère sur trois principes fondamentaux : Vérifier explicitement, utiliser l'accès au moindre privilège et présumer la violation. C'est une approche stratégique, pas un produit unique.

Référence

Définir les limites de propriété de la sécurité pour les services cloud.

Appliquer le modèle de responsabilité partagée. Le client est toujours responsable de : l'information et des données, des appareils (endpoints), des comptes et des identités.

Pourquoi: La responsabilité du fournisseur de cloud augmente de l'IaaS au PaaS au SaaS, mais le client conserve toujours la responsabilité de ses données et de la gestion des accès.

Protéger contre la défaillance d'une seule couche de sécurité.

Mettre en œuvre une stratégie de sécurité multicouche (défense en profondeur) à travers les couches physique, identité, périmètre, réseau, calcul, application et données.

Pourquoi: Une violation dans une couche est ralentie ou contenue par les couches suivantes, réduisant le risque global et l'impact d'une attaque.

Différencier la vérification de l'identité d'un utilisateur et l'octroi de permissions.

Utiliser l'authentification (AuthN) pour vérifier l'identité (prouver qui vous êtes). Utiliser l'autorisation (AuthZ) pour déterminer les droits d'accès d'une identité authentifiée (ce que vous êtes autorisé à faire).

Pourquoi: L'authentification doit toujours précéder l'autorisation. Un utilisateur peut être authentifié mais non autorisé à accéder à une ressource spécifique.

Protéger la confidentialité des données lorsqu'elles sont stockées et lorsqu'elles sont transmises.

Utiliser le chiffrement au repos pour les données stockées (par exemple, sur les disques, dans les bases de données). Utiliser le chiffrement en transit pour les données circulant sur un réseau (par exemple, TLS/SSL).

Pourquoi: Protège contre différents vecteurs de menace. Le chiffrement au repos atténue le vol physique des supports de stockage, tandis que le chiffrement en transit empêche l'espionnage.

Décrire les capacités de Microsoft Entra

Gérer les identités utilisateur et l'accès aux ressources cloud et locales depuis un seul plan de contrôle.

Utiliser Microsoft Entra ID comme fournisseur d'identité centralisé.

Pourquoi: Fournit une source unique de vérité pour l'identité, permettant l'authentification unique (SSO), l'authentification multifacteur (MFA) et des politiques d'accès cohérentes à travers l'environnement hybride.

Appliquer des contrôles d'accès dynamiques basés sur les risques pour les applications et les données.

Configurer les politiques d'accès conditionnel de Microsoft Entra.

Pourquoi: Il s'agit du moteur de politique Zero Trust. Il évalue les signaux (utilisateur, emplacement, état de l'appareil, risque) pour appliquer des décisions telles que l'exigence de MFA, la limitation de l'accès à la session ou le blocage de l'accès.

Référence

Minimiser les risques de sécurité associés aux privilèges administratifs permanents.

Mettre en œuvre Microsoft Entra Privileged Identity Management (PIM) pour les rôles Azure et Microsoft 365.

Pourquoi: Fournit un accès Juste-À-Temps (JIT), exigeant que les utilisateurs activent les rôles lorsque cela est nécessaire. L'activation peut nécessiter une MFA, une justification et/ou une approbation, réduisant considérablement la surface d'attaque. Nécessite Entra ID P2.

Éliminer les vecteurs d'attaque basés sur les mots de passe comme le phishing et le password spray.

Mettre en œuvre des méthodes d'authentification sans mot de passe telles que Windows Hello for Business, les clés de sécurité FIDO2 ou l'application Microsoft Authenticator.

Pourquoi: Offre une alternative plus sécurisée et conviviale aux mots de passe en s'appuyant sur la biométrie ou les clés cryptographiques liées à un appareil physique.

Fournir aux utilisateurs une identité unique pour les ressources locales et cloud.

Synchroniser l'Active Directory local avec Microsoft Entra ID à l'aide de Microsoft Entra Connect.

Pourquoi: Crée une identité utilisateur commune, permettant une authentification unique (SSO) transparente et une gestion des accès cohérente à travers l'environnement hybride.

Permettre aux partenaires externes d'accéder aux ressources de l'entreprise sans créer et gérer de comptes pour eux.

Utiliser la collaboration Microsoft Entra B2B (Business-to-Business).

Pourquoi: Invite les utilisateurs externes en tant qu'invités qui utilisent leurs propres identités d'entreprise ou sociales pour s'authentifier, réduisant ainsi les frais administratifs et les risques de sécurité.

Détecter et répondre automatiquement et proactivement aux menaces basées sur l'identité.

Activer la protection Microsoft Entra ID Protection.

Pourquoi: Utilise l'apprentissage automatique pour détecter les risques d'identité (par exemple, les informations d'identification divulguées, les connexions depuis des adresses IP anonymes). Les signaux de risque peuvent être utilisés dans l'accès conditionnel pour déclencher des réponses automatisées comme la réinitialisation forcée d'un mot de passe ou une MFA.

Permettre aux applications hébergées sur Azure d'accéder à d'autres ressources Azure sans gérer les informations d'identification dans le code.

Attribuer une identité gérée à la ressource Azure (par exemple, VM, App Service).

Pourquoi: Élimine le besoin pour les développeurs de gérer les secrets, les chaînes de connexion ou les certificats. Azure gère automatiquement le cycle de vie de l'identité.

Réduire la charge de travail du service d'assistance et permettre aux utilisateurs de résoudre leurs propres blocages de compte ou mots de passe oubliés.

Configurer la réinitialisation de mot de passe en libre-service (SSPR) dans Microsoft Entra ID.

Pourquoi: Permet aux utilisateurs de réinitialiser leurs mots de passe en toute sécurité après avoir vérifié leur identité à l'aide de méthodes pré-enregistrées (par exemple, téléphone, application d'authentification, questions de sécurité).

Valider périodiquement que l'accès des utilisateurs aux applications et aux rôles privilégiés est toujours nécessaire.

Planifier des révisions d'accès Microsoft Entra récurrentes.

Pourquoi: Automatise le processus de révision des accès, garantissant que le principe du moindre privilège est maintenu dans le temps en supprimant les droits d'accès inutiles.

Décrire les capacités des solutions de sécurité Microsoft

Agréguer les données de sécurité de l'ensemble de l'entreprise pour la détection des menaces et automatiser la réponse aux incidents.

Déployer Microsoft Sentinel.

Pourquoi: Agit comme une plateforme cloud-native de gestion des informations et des événements de sécurité (SIEM) pour la collecte et l'analyse des données, et une plateforme d'orchestration, d'automatisation et de réponse à la sécurité (SOAR) utilisant des Playbooks pour des actions automatisées.

Référence

Évaluer et renforcer en permanence la configuration de sécurité des ressources cloud.

Utiliser Microsoft Defender for Cloud pour ses capacités de gestion de la posture de sécurité du cloud (CSPM).

Pourquoi: Fournit un score de sécurité, des recommandations de sécurité exploitables et assure le suivi de la conformité aux normes réglementaires pour améliorer la posture de sécurité globale.

Protéger les charges de travail cloud et hybrides comme les machines virtuelles, les conteneurs et les bases de données contre les menaces avancées.

Activer les plans Defender spécifiques (Protection des charges de travail cloud - CWP) au sein de Microsoft Defender for Cloud.

Pourquoi: Fournit des capacités avancées de détection et de protection des menaces spécifiques aux charges de travail, telles que la détection des points de terminaison pour les serveurs et l'analyse des vulnérabilités pour les registres de conteneurs.

Enquêter et répondre aux attaques complexes qui s'étendent sur les points de terminaison, les e-mails, les identités et les applications cloud.

Utiliser Microsoft 365 Defender.

Pourquoi: Fournit une solution de Détection et Réponse Étendues (XDR) qui corrèle les alertes de plusieurs produits Microsoft Defender en un seul incident, offrant une expérience d'enquête et de réponse unifiée.

Protéger les appareils des utilisateurs (endpoints) contre les malwares, les ransomwares et autres attaques sophistiquées.

Déployer Microsoft Defender for Endpoint.

Pourquoi: Offre une protection préventive, une détection après violation (EDR), une investigation automatisée et des capacités de réponse pour sécuriser les points de terminaison.

Protéger contre le phishing, la compromission de la messagerie professionnelle et les pièces jointes malveillantes dans les e-mails et les outils de collaboration.

Mettre en œuvre Microsoft Defender for Office 365.

Pourquoi: Offre des fonctionnalités de protection avancées contre les menaces comme les Pièces jointes sécurisées (chambre de détonation) et les Liens sécurisés (réécriture et analyse d'URL) pour les services Microsoft 365.

Détecter les attaques ciblant l'infrastructure Active Directory locale.

Déployer Microsoft Defender for Identity.

Pourquoi: Surveille les signaux AD locaux pour détecter les menaces avancées, les identités compromises et les actions d'initiés malveillantes qui sont souvent des précurseurs de violations majeures.

Découvrir les applications cloud non autorisées ("shadow IT") utilisées par les employés et contrôler le flux de données vers les applications autorisées.

Utiliser Microsoft Defender for Cloud Apps.

Pourquoi: Fonctionne comme un Cloud Access Security Broker (CASB) pour offrir une visibilité sur l'utilisation des applications cloud, évaluer les risques, appliquer les politiques et protéger contre les menaces dans le cloud.

Contrôler le trafic réseau entre les ressources Azure au sein d'un réseau virtuel.

Appliquer des groupes de sécurité réseau (NSG) aux sous-réseaux et/ou aux interfaces réseau.

Pourquoi: Agit comme un pare-feu de filtrage de paquets de base, avec état, pour autoriser ou refuser le trafic en fonction de l'adresse IP, du port et du protocole. C'est un contrôle de sécurité réseau fondamental.

Protéger centralement toutes les ressources de réseau virtuel avec un service de pare-feu intelligent et géré.

Déployer Azure Firewall dans un VNet hub.

Pourquoi: Un pare-feu entièrement géré et natif du cloud en tant que service qui offre un filtrage basé sur l'intelligence des menaces, une haute disponibilité et une évolutivité illimitée.

Protéger les applications publiques dans Azure contre la surcharge due aux attaques par déni de service distribué.

Activer la protection Azure DDoS Protection Standard sur le réseau virtuel.

Pourquoi: Fournit des capacités d'atténuation améliorées, y compris le réglage adaptatif, l'analyse des attaques et la protection des coûts, au-delà de la protection par défaut au niveau de l'infrastructure.

Fournir un accès RDP et SSH sécurisé aux machines virtuelles Azure sans exposer les ports de gestion à l'internet public.

Déployer Azure Bastion dans le réseau virtuel.

Pourquoi: Fournit une connexion sécurisée basée sur un navigateur aux machines virtuelles via le portail Azure sur TLS, éliminant le besoin d'adresses IP publiques sur les machines virtuelles et réduisant la surface d'attaque.

Décrire les capacités des solutions de conformité Microsoft

Classer et protéger les documents et e-mails sensibles en fonction de leur contenu, quel que soit l'endroit où ils sont stockés ou envoyés.

Utiliser Microsoft Purview Information Protection avec les étiquettes de confidentialité.

Pourquoi: Les étiquettes appliquent une protection persistante (chiffrement, marquage de contenu, restrictions d'accès) qui accompagne les données, garantissant qu'elles restent protégées tout au long de leur cycle de vie.

Référence

Empêcher les utilisateurs de partager accidentellement ou intentionnellement des informations sensibles (par exemple, numéros de carte de crédit, PII) en dehors de l'organisation.

Configurer les politiques de prévention des pertes de données (DLP) de Microsoft Purview.

Pourquoi: Les politiques DLP identifient, surveillent et appliquent automatiquement des actions de protection au contenu sensible à travers les services Microsoft 365, les endpoints et les applications cloud.

Évaluer, gérer et suivre la conformité aux réglementations et normes industrielles telles que GDPR, HIPAA et ISO 27001.

Utiliser Microsoft Purview Compliance Manager.

Pourquoi: Fournit un tableau de bord centralisé avec un score de conformité, des modèles d'évaluation préconfigurés et des actions d'amélioration recommandées pour simplifier la gestion de la conformité.

Conserver automatiquement le contenu pendant une période requise et le supprimer lorsqu'il n'est plus nécessaire pour des raisons commerciales ou réglementaires.

Mettre en œuvre Microsoft Purview Data Lifecycle Management à l'aide de politiques de rétention et d'étiquettes de rétention.

Pourquoi: Applique les politiques de gouvernance des données à travers Microsoft 365 pour gérer le cycle de vie du contenu, réduire les risques et se conformer aux réglementations.

Une affaire juridique nécessite l'identification, la préservation et la collecte de données électroniques depuis Microsoft 365.

Utiliser Microsoft Purview eDiscovery (Standard ou Premium).

Pourquoi: Fournit les outils pour rechercher le contenu pertinent, le mettre sous conservation légale pour empêcher sa modification ou sa suppression, et l'exporter pour examen juridique.

Détecter et enquêter sur les vols de données potentiels ou les violations de politiques de sécurité par les employés.

Configurer Microsoft Purview Insider Risk Management.

Pourquoi: Corréle divers signaux de Microsoft 365 pour identifier les activités d'initiés potentiellement risquées et fournit des flux de travail pour enquêter et agir en conséquence.

Une entreprise réglementée doit empêcher la communication entre des départements spécifiques (par exemple, traders et analystes) pour éviter les conflits d'intérêts.

Mettre en œuvre les barrières d'information Microsoft Purview.

Pourquoi: Applique des politiques qui restreignent la communication et la collaboration entre des groupes d'utilisateurs définis dans Microsoft Teams, SharePoint et OneDrive.

Créer une carte complète et à jour de tous les actifs de données à travers les environnements locaux, multi-cloud et SaaS.

Utiliser la carte et le catalogue de données Microsoft Purview.

Pourquoi: Automatise la découverte de données, la classification des données sensibles et le suivi de la lignée pour fournir une vue holistique du patrimoine de données pour une gouvernance efficace.

Détecter, capturer et agir sur les messages inappropriés (par exemple, harcèlement, partage de secrets) dans les communications de l'entreprise.

Déployer Microsoft Purview Communication Compliance.

Pourquoi: Aide à minimiser les risques de communication en utilisant l'apprentissage automatique pour détecter les violations de politique dans les e-mails, Teams et d'autres canaux pour examen.

S'assurer que les ingénieurs du support Microsoft ne peuvent pas accéder aux données de votre organisation sans votre approbation explicite et vérifiable.

Activer Customer Lockbox pour Microsoft 365 ou Azure.

Pourquoi: Fournit une interface permettant aux clients d'approuver ou de rejeter les demandes d'accès aux données des ingénieurs Microsoft, vous donnant le contrôle final dans les rares scénarios de support.

Enquêter sur un incident de sécurité ou un problème de conformité en examinant les activités des utilisateurs et des administrateurs à travers Microsoft 365.

Rechercher dans le journal Microsoft Purview Audit (Standard ou Premium).

Pourquoi: Fournit une piste d'audit unifiée des activités à travers des services comme Exchange Online, SharePoint Online, OneDrive et Entra ID pour une investigation forensique.