🛡️

Checklist Sécurité ANC

Checklist Sécurité Microsoft Defender Antivirus

📋 17 sections ✅ 223 contrôles 📄 20089 mots 🔄 Version 1.0 · Mars 2026

À quoi sert cette checklist ?

Cette checklist vous permet d'auditer méthodiquement la sécurité de votre environnement Microsoft Defender en vérifiant point par point chaque contrôle de sécurité critique. Utilisez-la pour identifier les failles de configuration, prioriser les remédiations et documenter votre posture de sécurité — que ce soit dans le cadre d'un audit interne, d'une mise en conformité (ISO 27001, NIS2, HDS) ou d'un durcissement préventif.

Configuration Defender : protection temps réel, ASR rules, tamper protection, cloud protection, exclusions et EDR.

Checklist de configuration optimale de Microsoft Defender : protection temps réel, règles ASR (Attack Surface Reduction), tamper protection, cloud-delivered protection, gestion des exclusions et intégration EDR. Couvre les 223 points de contrôle essentiels pour une protection endpoint robuste.

Cette checklist a été conçue par les experts Ayi NEDJIMI Consultants à partir de retours d'expérience terrain, des référentiels CIS Benchmarks, des recommandations ANSSI et des bonnes pratiques observées lors de nos missions d'audit. Chaque point de contrôle inclut la commande de vérification, le seuil de conformité et la procédure de remédiation associée. Disponible en PDF et Excel — téléchargement gratuit, aucune inscription requise.

📄 CHECKLIST PDF SÉCURITÉ Microsoft Defender 📊 CHECKLIST EXCEL SÉCURITÉ Microsoft Defender

⚠️ Ce document contient 20089 mots — le chargement peut prendre quelques secondes.

CHECKLIST DE SÉCURITÉ - MICROSOFT DEFENDER ANTIVIRUS

AYI NEDJIMI CONSULTANTS

Propriété	Valeur
Document	Checklist de Sécurité Microsoft Defender Antivirus
Version	1.0
Date	04 avril 2026
Classification	CONFIDENTIEL
Auteur	AYI NEDJIMI CONSULTANTS
Références	CIS Defender Antivirus v1.0.0, MS Security Baselines, NIST 800-53, MITRE ATT&CK

AVERTISSEMENT

Ce document contient des informations confidentielles et propriétaires d’AYI NEDJIMI CONSULTANTS. La reproduction, distribution ou divulgation non autorisée est strictement interdite.

LÉGENDE DES CONTRÔLES

Symbole	Signification	Description
✅	Conforme	Le contrôle est correctement implémenté
❌	Non-conforme	Le contrôle n’est pas implémenté ou mal configuré
⚠️	Attention	Configuration partiellement conforme nécessitant des ajustements
N/A	Non applicable	Le contrôle ne s’applique pas à cet environnement

NIVEAUX DE CRITICITÉ

Niveau	Description	Action requise
🔴 Critique	Vulnérabilité majeure, exploitation possible	Correction immédiate obligatoire
🟠 Élevé	Risque significatif pour la sécurité	Correction dans les 48h
🟡 Moyen	Amélioration de la posture de sécurité	Correction dans la semaine
🟢 Faible	Optimisation et bonnes pratiques	Correction lors de la maintenance

MODE DÉCOUVERTE RAPIDE — 15 QUESTIONS CLÉS

Instructions : Répondez par ✅ OUI / ❌ NON pour une évaluation rapide de votre posture Defender

#	Question Clé	Réponse	Section
1	La protection en temps réel est-elle activée sur tous les endpoints ?	☐	S1
2	Les définitions de virus sont-elles mises à jour automatiquement ?	☐	S3
3	La protection cloud (MAPS) est-elle configurée ?	☐	S2
4	Les règles ASR (Attack Surface Reduction) sont-elles déployées ?	☐	S6
5	La protection du réseau est-elle activée ?	☐	S7
6	L’accès contrôlé aux dossiers est-il configuré ?	☐	S8
7	La protection contre l’exploitation est-elle activée ?	☐	S9
8	Defender for Endpoint est-il déployé ?	☐	S10
9	La protection contre la falsification est-elle active ?	☐	S11
10	Les exclusions sont-elles documentées et justifiées ?	☐	S5
11	Les analyses programmées fonctionnent-elles correctement ?	☐	S4
12	La gestion des IOC est-elle implémentée ?	☐	S14
13	Les rapports de sécurité sont-ils configurés ?	☐	S15
14	Un plan de réponse aux incidents est-il en place ?	☐	S17
15	La gouvernance des politiques est-elle établie ?	☐	S18

Score de découverte rapide : ___/15

INFORMATIONS CLIENT

Champ	Valeur
Organisation	_________________________
Contact principal	_________________________
Email	_________________________
Date d’évaluation	_________________________
Évaluateur ANC	_________________________
Périmètre	_________________________
Nombre d’endpoints	_________________________
Version Defender	_________________________
Environnement	☐ On-premises ☐ Cloud ☐ Hybride
Intégration MDE	☐ Oui ☐ Non

SECTION S1 — PROTECTION EN TEMPS RÉEL

Objectif : Assurer une protection continue contre les menaces en temps réel via le moteur antivirus de Microsoft Defender.

Contrôles : 30 | Criticité moyenne : 🔴 Critique

S1.1.1 — Activation de la protection en temps réel

Niveau : 🔴 Référence CIS : CIS Defender 1.1 MITRE ATT&CK : T1562.001

Description : La protection en temps réel doit être activée pour surveiller en permanence les fichiers, processus et activités système contre les menaces connues et inconnues.

Vérification :

PowerShell: Get-MpPreference | Select-Object -Property DisableRealtimeMonitoring
Registre: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableRealtimeMonitoring
Intune: Endpoint Security > Antivirus > Real-time protection

Remédiation :

Set-MpPreference -DisableRealtimeMonitoring
GPO: Computer Config > Admin Templates > Windows Components > Microsoft Defender Antivirus > Real-time Protection > Turn off real-time protection = Disabled
Intune: Devices > Configuration profiles > Endpoint protection > Microsoft Defender Antivirus

Valeur par défaut : Enabled État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S1.1.2 — Protection contre le téléchargement de fichiers

Niveau : 🔴 Référence CIS : CIS Defender 1.2 MITRE ATT&CK : T1566.001

Description : Contrôle l’analyse en temps réel des fichiers téléchargés depuis Internet pour bloquer les menaces avant leur exécution.

Vérification :

PowerShell: Get-MpPreference | Select-Object -Property DisableIOAVProtection
Registre: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableIOAVProtection

Remédiation :

Set-MpPreference -DisableIOAVProtection
GPO: Turn off scanning of downloaded files and attachments = Disabled

Valeur par défaut : Enabled État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S1.1.3 — Surveillance des fichiers et programmes

Niveau : 🔴 Référence CIS : CIS Defender 1.3 MITRE ATT&CK : T1204.002

Description : Active la surveillance en temps réel de l’activité des fichiers et programmes sur le système pour détecter les comportements malveillants.

Vérification :

PowerShell: Get-MpPreference | Select-Object -Property DisableOnAccessProtection
Registre: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableOnAccessProtection

Remédiation :

Set-MpPreference -DisableOnAccessProtection
GPO: Turn off real-time file and program monitoring = Disabled

Valeur par défaut : Enabled État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S1.1.4 — Protection contre les scripts malveillants

Niveau : 🔴 Référence CIS : CIS Defender 1.4 MITRE ATT&CK : T1059

Description : Active la protection contre l’exécution de scripts malveillants via l’Antimalware Scan Interface (AMSI).

Vérification :

PowerShell: Get-MpPreference | Select-Object -Property DisableScriptScanning
Registre: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableScriptScanning

Remédiation :

Set-MpPreference -DisableScriptScanning
GPO: Configure script scanning = Enabled

Valeur par défaut : Enabled État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S1.1.5 — Protection de l’intégrité du comportement

Niveau : 🟠 Référence CIS : CIS Defender 1.5 MITRE ATT&CK : T1055

Description : Active la surveillance comportementale pour détecter les activités suspectes et les techniques d’évasion avancées.

Vérification :

PowerShell: Get-MpPreference | Select-Object -Property DisableBehaviorMonitoring
Registre: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableBehaviorMonitoring

Remédiation :

Set-MpPreference -DisableBehaviorMonitoring
GPO: Turn off behavior monitoring = Disabled

Valeur par défaut : Enabled État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S1.2.1 — Limite d’utilisation CPU pour l’analyse temps réel

Niveau : 🟡 Référence CIS : CIS Defender 1.6 MITRE ATT&CK : N/A

Description : Configure la limitation d’utilisation CPU pour l’analyse en temps réel afin d’équilibrer sécurité et performance système.

Vérification :

PowerShell: Get-MpPreference | Select-Object -Property ScanAvgCPULoadFactor
Registre: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Scan\AvgCPULoadFactor

Remédiation :

Set-MpPreference -ScanAvgCPULoadFactor 50
GPO: Specify the maximum percentage of CPU utilization = 50%

Valeur par défaut : 50% État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S1.2.2 — Analyse des processus nouveaux et modifiés

Niveau : 🟠 Référence CIS : CIS Defender 1.7 MITRE ATT&CK : T1543

Description : Configure l’analyse automatique des processus nouvellement créés ou modifiés pour détecter les activités malveillantes.

Vérification :

PowerShell: Get-MpPreference | Select-Object -Property RealTimeScanDirection

Remédiation :

Set-MpPreference -RealTimeScanDirection Both
GPO: Monitor file and program activity on your computer = Incoming and outgoing files

Valeur par défaut : Incoming files only État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S1.2.3 — Configuration des extensions de fichiers surveillées

Niveau : 🟡 Référence CIS : CIS Defender 1.8 MITRE ATT&CK : T1036.005

Description : Définit les extensions de fichiers à surveiller prioritairement pour optimiser les performances tout en maintenant la sécurité.

Vérification :

PowerShell: Get-MpPreference | Select-Object -Property ScanParameters

Remédiation :

Set-MpPreference -ScanParameters 1
GPO: Scan all downloaded files and attachments = Enabled

Valeur par défaut : Default extensions only État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S1.2.4 — Analyse des archives et fichiers compressés

Niveau : 🟠 Référence CIS : CIS Defender 1.9 MITRE ATT&CK : T1027.002

Description : Configure l’analyse approfondie des fichiers d’archives pour détecter les malwares dissimulés dans les conteneurs compressés.

Vérification :

PowerShell: Get-MpPreference | Select-Object -Property DisableArchiveScanning
Registre: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Scan\DisableArchiveScanning

Remédiation :

Set-MpPreference -DisableArchiveScanning
GPO: Scan archive files = Enabled

Valeur par défaut : Enabled État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S1.2.5 — Surveillance des lecteurs réseau

Niveau : 🟡 Référence CIS : CIS Defender 1.10 MITRE ATT&CK : T1021.002

Description : Active l’analyse des fichiers accessibles via les partages réseau pour prévenir la propagation latérale des menaces.

Vérification :

PowerShell: Get-MpPreference | Select-Object -Property DisableScanningNetworkFiles
Registre: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Scan\DisableScanningNetworkFiles

Remédiation :

Set-MpPreference -DisableScanningNetworkFiles
GPO: Scan network files = Enabled

Valeur par défaut : Disabled État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S1.3.1 — Analyse des emails et pièces jointes

Niveau : 🟠 Référence CIS : CIS Defender 1.11 MITRE ATT&CK : T1566.001

Description : Active l’analyse des emails entrants et pièces jointes via l’intégration avec les clients de messagerie.

Vérification :

PowerShell: Get-MpPreference | Select-Object -Property DisableEmailScanning
Registre: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Scan\DisableEmailScanning

Remédiation :

Set-MpPreference -DisableEmailScanning
GPO: Scan e-mail = Enabled

Valeur par défaut : Enabled État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S1.3.2 — Protection contre les rootkits

Niveau : 🔴 Référence CIS : CIS Defender 1.12 MITRE ATT&CK : T1014

Description : Active la détection et suppression des rootkits via l’analyse au niveau noyau et les technologies de virtualisation.

Vérification :

PowerShell: Get-MpComputerStatus | Select-Object -Property AMEngineVersion,ProductStatus
Event Viewer: Microsoft-Windows-Windows Defender/Operational

Remédiation :

Protection automatique via Windows Defender
Utiliser Microsoft Defender Offline pour analyse approfondie

Valeur par défaut : Enabled État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S1.3.3 — Analyse des fichiers de démarrage

Niveau : 🔴 Référence CIS : CIS Defender 1.13 MITRE ATT&CK : T1547

Description : Surveille et analyse les fichiers et registres de démarrage automatique pour détecter la persistance malveillante.

Vérification :

PowerShell: Get-CimInstance Win32_StartupCommand
Registre: Surveillance des clés de démarrage automatique

Remédiation :

Configuration automatique via la protection en temps réel
Audit manuel avec msconfig ou autoruns

Valeur par défaut : Enabled État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S1.3.4 — Protection de l’intégrité des processus système

Niveau : 🔴 Référence CIS : CIS Defender 1.14 MITRE ATT&CK : T1055

Description : Protège les processus système critiques contre l’injection de code et la manipulation malveillante.

Vérification :

PowerShell: Get-ProcessMitigation -System
Protection intégrée dans Windows Defender et Exploit Protection

Remédiation :

Configuration via Exploit Protection (Section S9)
Set-ProcessMitigation -System -Enable DEP,SEHOP,ASLR

Valeur par défaut : Partially enabled État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S1.3.5 — Surveillance des connexions réseau suspectes

Niveau : 🟠 Référence CIS : CIS Defender 1.15 MITRE ATT&CK : T1071

Description : Surveille les connexions réseau établies par les processus pour détecter les communications malveillantes.

Vérification :

PowerShell: Get-NetTCPConnection | Where-Object {BEGIN___COMMAND_OUTPUT_MARKER.State -eq ‘Established’}
Intégré dans Network Protection et Defender for Endpoint

Remédiation :

Activer Network Protection (Section S7)
Déployer Defender for Endpoint pour surveillance avancée

Valeur par défaut : Basic monitoring État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S1.4.1 — Gestion des faux positifs en temps réel

Niveau : 🟡 Référence CIS : CIS Defender 1.16 MITRE ATT&CK : N/A

Description : Configure la gestion automatisée des faux positifs pour réduire les interruptions tout en maintenant la sécurité.

Vérification :

PowerShell: Get-MpThreatDetection | Where-Object {BEGIN___COMMAND_OUTPUT_MARKER.ThreatName -like ‘False’}
Event Viewer: Microsoft-Windows-Windows Defender/Operational

Remédiation :

Configurer les exclusions appropriées (Section S5)
Utiliser Microsoft Security Intelligence pour rapporter les faux positifs

Valeur par défaut : Manual review required État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S1.4.2 — Notification des détections en temps réel

Niveau : 🟡 Référence CIS : CIS Defender 1.17 MITRE ATT&CK : N/A

Description : Configure les notifications utilisateur et administrateur pour les détections de menaces en temps réel.

Vérification :

PowerShell: Get-MpPreference | Select-Object -Property DisableRealtimeMonitoring,UILockdown
Windows Security Center notifications

Remédiation :

Configuration via Windows Security Center
GPO: Configure local setting override for reporting to Microsoft MAPS = Disabled

Valeur par défaut : Enabled for users État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S1.4.3 — Intégration avec SIEM pour temps réel

Niveau : 🟡 Référence CIS : CIS Defender 1.18 MITRE ATT&CK : N/A

Description : Configure l’envoi des événements de détection en temps réel vers les solutions SIEM pour corrélation centralisée.

Vérification :

PowerShell: Get-WinEvent -ListLog Defender | Select-Object LogName,IsEnabled
Event Viewer: Forwarded Events

Remédiation :

Configurer Windows Event Forwarding (WEF)
wecutil es Microsoft-Windows-Windows-Defender%4Operational

Valeur par défaut : Disabled État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S1.4.4 — Performance de la protection temps réel

Niveau : 🟡 Référence CIS : CIS Defender 1.19 MITRE ATT&CK : N/A

Description : Surveille et optimise les performances de la protection en temps réel pour éviter l’impact sur la productivité.

Vérification :

PowerShell: Get-MpComputerStatus | Select-Object -Property Performance
Performance Monitor: Windows Defender counters

Remédiation :

Ajuster ScanAvgCPULoadFactor
Optimiser les exclusions (Section S5)

Valeur par défaut : Balanced État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S1.4.5 — Audit de la protection temps réel

Niveau : 🟠 Référence CIS : CIS Defender 1.20 MITRE ATT&CK : N/A

Description : Maintient un audit complet de l’activité de protection en temps réel pour analyse post-incident et conformité.

Vérification :

PowerShell: Get-WinEvent -FilterHashtable @{LogName=‘Microsoft-Windows-Windows Defender/Operational’}
Event retention policy configuration

Remédiation :

Configurer la rétention des logs à 90 jours minimum
wevtutil sl Microsoft-Windows-Windows-Defender/Operational /ms:104857600

Valeur par défaut : 30 days État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S1.5.1 — Redémarrage automatique après détection

Niveau : 🟠 Référence CIS : CIS Defender 1.21 MITRE ATT&CK : T1562.001

Description : Configure le comportement de redémarrage automatique du système après détection et suppression de certaines menaces.

Vérification :

PowerShell: Get-MpPreference | Select-Object -Property DefaultAction
Registre: HKLM\SOFTWARE\Microsoft\Windows Defender\Threats\ThreatSeverityDefaultAction

Remédiation :

Set-MpPreference -ThreatIDDefaultAction_Ids @(2,3,4,5) -ThreatIDDefaultAction_Actions @(‘Quarantine’,‘Quarantine’,‘Quarantine’,‘Quarantine’)
GPO: Configure remediation for low/medium/high/severe threats

Valeur par défaut : Quarantine for most threats État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S1.5.2 — Protection des fichiers de configuration Defender

Niveau : 🔴 Référence CIS : CIS Defender 1.22 MITRE ATT&CK : T1562.001

Description : Protège les fichiers de configuration et bases de données de Microsoft Defender contre la modification malveillante.

Vérification :

PowerShell: Get-MpPreference | Select-Object -Property TamperProtection
Microsoft 365 Security Center: Tamper Protection status

Remédiation :

Activer via Microsoft 365 Security Center (nécessite Defender for Endpoint)
Configuration cloud-managed uniquement

Valeur par défaut : Enabled (with MDE) État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S1.5.3 — Surveillance de l’état des services Defender

Niveau : 🟠 Référence CIS : CIS Defender 1.23 MITRE ATT&CK : T1562.001

Description : Surveille en continu l’état des services Microsoft Defender pour détecter les tentatives de désactivation.

Vérification :

PowerShell: Get-Service -Name ‘WinDefend’,‘WdNisSvc’,‘Sense’ | Select-Object Name,Status,StartType
Service status monitoring

Remédiation :

Set-Service -Name WinDefend -StartupType Automatic
Configurer la surveillance des services critiques

Valeur par défaut : Automatic startup État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S1.5.4 — Protection contre la désactivation par malware

Niveau : 🔴 Référence CIS : CIS Defender 1.24 MITRE ATT&CK : T1562.001

Description : Implémente des mesures de protection contre les tentatives de désactivation de Defender par des logiciels malveillants.

Vérification :

PowerShell: Get-MpComputerStatus | Select-Object AMEngineVersion,AntispywareEnabled,AntivirusEnabled
Tamper Protection status

Remédiation :

Activer Tamper Protection via Defender for Endpoint
Surveiller Event ID 5001 (service stopped) et 1150 (configuration changed)

Valeur par défaut : Basic protection État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S1.5.5 — Récupération automatique après corruption

Niveau : 🟠 Référence CIS : CIS Defender 1.25 MITRE ATT&CK : T1562.001

Description : Configure la récupération automatique de Microsoft Defender après corruption des fichiers ou configuration.

Vérification :

PowerShell: Get-MpComputerStatus | Select-Object ProductStatus,AMServiceEnabled
Health status verification

Remédiation :

Update-MpSignature -UpdateSource MicrosoftUpdateServer
Utiliser Microsoft Defender Offline pour récupération complète

Valeur par défaut : Manual recovery État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

SECTION S2 — PROTECTION CLOUD (MAPS)

Objectif : Configurer la protection cloud Microsoft Advanced Protection Service (MAPS) pour la détection proactive des menaces inconnues.

Contrôles : 20 | Criticité moyenne : 🔴 Critique

S2.1.1 — Activation du service MAPS

Niveau : 🔴 Référence CIS : CIS Defender 2.1 MITRE ATT&CK : T1562.001

Description : Active Microsoft Advanced Protection Service pour la détection cloud des menaces inconnues et la classification en temps réel.

Vérification :

PowerShell: Get-MpPreference | Select-Object -Property MAPSReporting
Registre: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet\SpynetReporting

Remédiation :

Set-MpPreference -MAPSReporting Advanced
GPO: Join Microsoft MAPS = Advanced Membership

Valeur par défaut : Basic État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S2.1.2 — Configuration du niveau de rapport MAPS

Niveau : 🔴 Référence CIS : CIS Defender 2.2 MITRE ATT&CK : T1071

Description : Configure le niveau de détail des rapports envoyés à MAPS pour optimiser la détection tout en respectant la confidentialité.

Vérification :

PowerShell: Get-MpPreference | Select-Object -Property MAPSReporting
Valeurs: 0=Disabled, 1=Basic, 2=Advanced

Remédiation :

Set-MpPreference -MAPSReporting 2
GPO: Configure the ‘Block at First Sight’ feature = Enabled

Valeur par défaut : Basic (1) État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S2.1.3 — Block at First Sight (BAFS)

Niveau : 🔴 Référence CIS : CIS Defender 2.3 MITRE ATT&CK : T1204

Description : Active le blocage immédiat des fichiers suspects avant même la réception des définitions de signatures.

Vérification :

PowerShell: Get-MpPreference | Select-Object -Property DisableBlockAtFirstSeen
Registre: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet\DisableBlockAtFirstSeen

Remédiation :

Set-MpPreference -DisableBlockAtFirstSeen
GPO: Configure the ‘Block at First Sight’ feature = Enabled

Valeur par défaut : Enabled État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S2.1.4 — Soumission automatique d’échantillons

Niveau : 🟠 Référence CIS : CIS Defender 2.4 MITRE ATT&CK : T1005

Description : Configure la soumission automatique d’échantillons de fichiers suspects à Microsoft pour analyse approfondie.

Vérification :

PowerShell: Get-MpPreference | Select-Object -Property SubmitSamplesConsent
Registre: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet\SubmitSamplesConsent

Remédiation :

Set-MpPreference -SubmitSamplesConsent SendSafeSamples
GPO: Send file samples when further analysis is required = Send safe samples automatically

Valeur par défaut : Always prompt État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S2.1.5 — Délai d’attente cloud étendu

Niveau : 🟠 Référence CIS : CIS Defender 2.5 MITRE ATT&CK : T1071

Description : Configure un délai d’attente étendu pour les vérifications cloud afin d’améliorer la précision de détection.

Vérification :

PowerShell: Get-MpPreference | Select-Object -Property CloudExtendedTimeout
Registre: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\MpEngine\MpCloudBlockLevel

Remédiation :

Set-MpPreference -CloudExtendedTimeout 50
GPO: Configure extended cloud check timeout period = 50 seconds

Valeur par défaut : 10 seconds État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S2.2.1 — Niveau de blocage cloud

Niveau : 🟠 Référence CIS : CIS Defender 2.6 MITRE ATT&CK : T1204

Description : Configure le niveau d’agressivité du blocage cloud pour équilibrer sécurité et faux positifs.

Vérification :

PowerShell: Get-MpPreference | Select-Object -Property CloudBlockLevel
Valeurs: 0=Default, 1=Moderate, 2=High, 4=HighPlus, 6=ZeroTolerance

Remédiation :

Set-MpPreference -CloudBlockLevel 2
GPO: Select cloud protection level = High blocking level

Valeur par défaut : Default (0) État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S2.2.2 — Protection renforcée contre les PUA

Niveau : 🟡 Référence CIS : CIS Defender 2.7 MITRE ATT&CK : T1566.001

Description : Active la détection cloud renforcée des applications potentiellement indésirables (PUA) via l’intelligence Microsoft.

Vérification :

PowerShell: Get-MpPreference | Select-Object -Property PUAProtection
Registre: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\PUAProtection

Remédiation :

Set-MpPreference -PUAProtection Enabled
GPO: Configure detection for potentially unwanted applications = Enabled

Valeur par défaut : Disabled État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S2.2.3 — Analyse comportementale cloud

Niveau : 🟠 Référence CIS : CIS Defender 2.8 MITRE ATT&CK : T1055

Description : Active l’analyse comportementale cloud pour détecter les menaces basées sur les patterns de comportement.

Vérification :

PowerShell: Get-MpPreference | Select-Object -Property DisableBehaviorMonitoring
Intégration automatique avec MAPS Advanced

Remédiation :

Assurez-vous que MAPS est en mode Advanced
Set-MpPreference -DisableBehaviorMonitoring

Valeur par défaut : Enabled with MAPS Advanced État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S2.2.4 — Classification des menaces en temps réel

Niveau : 🟠 Référence CIS : CIS Defender 2.9 MITRE ATT&CK : T1071

Description : Utilise l’intelligence cloud pour classifier les menaces en temps réel et adapter la réponse automatique.

Vérification :

PowerShell: Get-MpThreatDetection | Select-Object ThreatName,Resources,ProcessName
Cloud threat intelligence integration

Remédiation :

Configuration automatique via MAPS Advanced
Vérifier la connectivité cloud régulièrement

Valeur par défaut : Automatic with MAPS État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S2.2.5 — Réputation des fichiers et URLs

Niveau : 🟠 Référence CIS : CIS Defender 2.10 MITRE ATT&CK : T1566

Description : Utilise la base de données de réputation Microsoft pour évaluer la fiabilité des fichiers et URLs en temps réel.

Vérification :

PowerShell: Intégré dans la protection en temps réel
SmartScreen integration pour URLs

Remédiation :

Activer SmartScreen (Section S7)
Maintenir MAPS en mode Advanced

Valeur par défaut : Enabled with cloud protection État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S2.3.1 — Connectivité cloud sécurisée

Niveau : 🔴 Référence CIS : CIS Defender 2.11 MITRE ATT&CK : T1071

Description : Assure la connectivité sécurisée vers les services cloud Microsoft pour les mises à jour et vérifications en temps réel.

Vérification :

PowerShell: Test-NetConnection -ComputerName wdcp.microsoft.com -Port 443
Connectivité vers *.smartscreen.microsoft.com

Remédiation :

Configurer le proxy si nécessaire
Ouvrir les ports requis (443, 80) vers les domaines Microsoft

Valeur par défaut : Direct connection État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S2.3.2 — Configuration proxy pour MAPS

Niveau : 🟡 Référence CIS : CIS Defender 2.12 MITRE ATT&CK : T1071

Description : Configure l’utilisation de proxy d’entreprise pour les communications cloud tout en maintenant la sécurité.

Vérification :

PowerShell: Get-MpPreference | Select-Object -Property ProxyServer,ProxyPacUrl
netsh winhttp show proxy

Remédiation :

Set-MpPreference -ProxyServer ‘http://proxy.domain.com:8080’
Configurer l’authentification proxy si nécessaire

Valeur par défaut : Use system proxy settings État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S2.3.3 — Gestion des certificats cloud

Niveau : 🟡 Référence CIS : CIS Defender 2.13 MITRE ATT&CK : T1553.004

Description : Vérifie l’intégrité des certificats SSL/TLS pour les communications cloud et gère les révocations.

Vérification :

PowerShell: Vérification automatique intégrée
Certificate store validation

Remédiation :

Maintenir les CA racines Microsoft à jour
Configurer la vérification CRL/OCSP

Valeur par défaut : Automatic validation État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S2.3.4 — Surveillance des performances cloud

Niveau : 🟡 Référence CIS : CIS Defender 2.14 MITRE ATT&CK : N/A

Description : Surveille les performances des requêtes cloud pour optimiser les temps de réponse et la disponibilité.

Vérification :

PowerShell: Get-MpComputerStatus | Select-Object Cloud
Performance counters pour Defender

Remédiation :

Ajuster CloudExtendedTimeout selon les performances réseau
Optimiser la configuration proxy

Valeur par défaut : Standard timeout État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S2.3.5 — Fallback en cas d’indisponibilité cloud

Niveau : 🟠 Référence CIS : CIS Defender 2.15 MITRE ATT&CK : T1562.001

Description : Configure le comportement de fallback local quand les services cloud ne sont pas disponibles.

Vérification :

PowerShell: Configuration automatique intégrée
Local signature fallback behavior

Remédiation :

Maintenir les signatures locales à jour
Configuration automatique, pas d’action manuelle requise

Valeur par défaut : Automatic local fallback État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S2.4.1 — Audit des soumissions cloud

Niveau : 🟡 Référence CIS : CIS Defender 2.16 MITRE ATT&CK : N/A

Description : Maintient un audit des fichiers soumis au cloud pour analyse et respect des politiques de confidentialité.

Vérification :

PowerShell: Get-WinEvent -FilterHashtable @{LogName=‘Microsoft-Windows-Windows Defender/Operational’; ID=1118}
Event ID 1118 pour sample submission

Remédiation :

Configurer la rétention des logs appropriée
Surveiller les soumissions via Event Viewer

Valeur par défaut : Basic logging État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S2.4.2 — Protection des données sensibles

Niveau : 🟠 Référence CIS : CIS Defender 2.17 MITRE ATT&CK : T1005

Description : Implémente la protection des données sensibles pour éviter leur soumission non autorisée au cloud.

Vérification :

PowerShell: Get-MpPreference | Select-Object -Property SubmitSamplesConsent
Data Loss Prevention integration

Remédiation :

Set-MpPreference -SubmitSamplesConsent SendSafeSamples
Configurer les exclusions pour données sensibles

Valeur par défaut : Prompt before sending État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S2.4.3 — Conformité réglementaire cloud

Niveau : 🟡 Référence CIS : CIS Defender 2.18 MITRE ATT&CK : N/A

Description : Assure la conformité avec les réglementations locales concernant le transfert de données vers le cloud Microsoft.

Vérification :

Documentation: Révision des contrats Microsoft MAPS
Compliance documentation review

Remédiation :

Réviser les accords de traitement des données Microsoft
Configurer selon les exigences réglementaires locales

Valeur par défaut : Standard Microsoft terms État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S2.4.4 — Intégration SIEM pour événements cloud

Niveau : 🟡 Référence CIS : CIS Defender 2.19 MITRE ATT&CK : N/A

Description : Configure l’intégration SIEM pour collecter et analyser les événements liés aux interactions cloud.

Vérification :

PowerShell: Get-WinEvent -ListLog Defender | Where-Object {BEGIN___COMMAND_OUTPUT_MARKER.RecordCount -gt 0}
SIEM connector configuration

Remédiation :

Configurer Windows Event Forwarding
Filtrer les Event ID pertinents (1116, 1117, 1118, 1119)

Valeur par défaut : Local logging only État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S2.4.5 — Optimisation continue de la protection cloud

Niveau : 🟢 Référence CIS : CIS Defender 2.20 MITRE ATT&CK : N/A

Description : Processus d’optimisation continue des paramètres cloud basé sur l’analyse des performances et détections.

Vérification :

PowerShell: Get-MpComputerStatus | Select-Object Signature,Engine
Regular performance analysis

Remédiation :

Révision mensuelle des paramètres cloud
Ajustement basé sur les métriques de performance

Valeur par défaut : Manual optimization État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

SECTION S3 — MISES À JOUR DES DÉFINITIONS

Objectif : Assurer la mise à jour continue et efficace des signatures antivirus et du moteur de détection Microsoft Defender.

Contrôles : 20 | Criticité moyenne : 🔴 Critique

S3.1.1 — Fréquence des mises à jour automatiques

Niveau : 🔴 Référence CIS : CIS Defender 3.1 MITRE ATT&CK : T1562.001

Description : Configure la fréquence optimale des mises à jour automatiques des définitions pour maintenir une protection maximale.

Vérification :

PowerShell: Get-MpPreference | Select-Object -Property SignatureUpdateInterval
Registre: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Signature Updates\SignatureUpdateInterval

Remédiation :

Set-MpPreference -SignatureUpdateInterval 1
GPO: Define the number of hours to check for definition updates = 1 hour

Valeur par défaut : 8 hours État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S3.1.2 — Source primaire de mise à jour

Niveau : 🔴 Référence CIS : CIS Defender 3.2 MITRE ATT&CK : T1071

Description : Configure la source primaire fiable pour les mises à jour de définitions antivirus (Microsoft Update, WSUS, etc.).

Vérification :

PowerShell: Get-MpPreference | Select-Object -Property SignatureDefinitionUpdateFileSharesSources
Windows Update configuration

Remédiation :

Set-MpPreference -SignatureDefinitionUpdateFileSharesSources ‘MicrosoftUpdateServer’
GPO: Define file shares for downloading definition updates

Valeur par défaut : Microsoft Update Server État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S3.1.3 — Sources de fallback configurées

Niveau : 🟠 Référence CIS : CIS Defender 3.3 MITRE ATT&CK : T1071

Description : Configure les sources de secours pour les mises à jour en cas d’indisponibilité de la source primaire.

Vérification :

PowerShell: Get-MpPreference | Select-Object -Property SignatureFallbackOrder
Multiple update sources configuration

Remédiation :

Set-MpPreference -SignatureFallbackOrder ‘MicrosoftUpdateServer|MMPC|FileShares’
GPO: Define the order of sources for downloading definition updates

Valeur par défaut : Microsoft Update only État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S3.1.4 — Mise à jour au démarrage du système

Niveau : 🟠 Référence CIS : CIS Defender 3.4 MITRE ATT&CK : T1547

Description : Force la vérification et mise à jour des définitions lors du démarrage système pour assurer la protection immédiate.

Vérification :

PowerShell: Get-MpPreference | Select-Object -Property CheckForSignaturesBeforeRunningScan
Startup signature update policy

Remédiation :

Set-MpPreference -CheckForSignaturesBeforeRunningScan
GPO: Check for the latest virus and spyware definitions on startup = Enabled

Valeur par défaut : Enabled État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S3.1.5 — Mise à jour différentielle optimisée

Niveau : 🟡 Référence CIS : CIS Defender 3.5 MITRE ATT&CK : N/A

Description : Active les mises à jour différentielles pour réduire la bande passante tout en maintenant la rapidité d’update.

Vérification :

PowerShell: Configuration automatique intégrée
Differential update mechanism

Remédiation :

Configuration automatique par Microsoft Update
Pas de paramétrage manuel requis

Valeur par défaut : Enabled automatically État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S3.2.1 — Mise à jour du moteur antivirus

Niveau : 🔴 Référence CIS : CIS Defender 3.6 MITRE ATT&CK : T1562.001

Description : Assure la mise à jour régulière du moteur antivirus Microsoft Defender pour supporter les nouvelles techniques de détection.

Vérification :

PowerShell: Get-MpComputerStatus | Select-Object -Property AMEngineVersion
Engine version check against latest

Remédiation :

Update-MpSignature -UpdateSource MicrosoftUpdateServer
Configuration automatique via Windows Update

Valeur par défaut : Automatic with Windows Update État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S3.2.2 — Mise à jour de la plateforme Defender

Niveau : 🔴 Référence CIS : CIS Defender 3.7 MITRE ATT&CK : T1562.001

Description : Maintient la plateforme Microsoft Defender à jour pour bénéficier des dernières fonctionnalités et corrections de sécurité.

Vérification :

PowerShell: Get-MpComputerStatus | Select-Object -Property AMProductVersion
Platform version comparison

Remédiation :

Configuration automatique via Windows Update
Manual: Update-MpSignature pour forcer la vérification

Valeur par défaut : Automatic with Windows Update État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S3.2.3 — Synchronisation des signatures réseau

Niveau : 🟠 Référence CIS : CIS Defender 3.8 MITRE ATT&CK : T1071

Description : Configure la synchronisation réseau des signatures pour les environnements déconnectés ou à bande passante limitée.

Vérification :

PowerShell: Get-MpPreference | Select-Object -Property SignatureDefinitionUpdateFileSharesSources
Network share configuration

Remédiation :

Set-MpPreference -SignatureDefinitionUpdateFileSharesSources ‘\server\defender-updates’
GPO: Define file shares for downloading definition updates

Valeur par défaut : Direct Microsoft servers État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S3.2.4 — Validation de l’intégrité des signatures

Niveau : 🟠 Référence CIS : CIS Defender 3.9 MITRE ATT&CK : T1553.004

Description : Vérifie l’intégrité cryptographique des signatures téléchargées pour éviter les signatures compromises.

Vérification :

PowerShell: Vérification automatique intégrée
Signature validation process

Remédiation :

Configuration automatique par Windows Defender
Surveillance des échecs de validation dans Event Viewer

Valeur par défaut : Automatic validation État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S3.2.5 — Rollback des signatures défaillantes

Niveau : 🟡 Référence CIS : CIS Defender 3.10 MITRE ATT&CK : T1562.001

Description : Configure la capacité de rollback automatique vers des signatures stables en cas de problème avec une mise à jour.

Vérification :

PowerShell: Get-MpComputerStatus | Select-Object -Property Signature
Rollback mechanism status

Remédiation :

Configuration automatique intégrée
Manual: Update-MpSignature -UpdateSource FallbackOrder

Valeur par défaut : Automatic rollback enabled État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S3.3.1 — Programmation des vérifications de mise à jour

Niveau : 🟠 Référence CIS : CIS Defender 3.11 MITRE ATT&CK : N/A

Description : Programme les vérifications régulières de mises à jour à des heures optimales pour minimiser l’impact performance.

Vérification :

PowerShell: Get-MpPreference | Select-Object -Property Update
Task Scheduler: Windows Defender tasks

Remédiation :

Configuration via GPO ou Intune pour heures creuses
Utiliser Task Scheduler pour personnalisation avancée

Valeur par défaut : Every 8 hours État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S3.3.2 — Gestion de la bande passante pour les mises à jour

Niveau : 🟡 Référence CIS : CIS Defender 3.12 MITRE ATT&CK : N/A

Description : Configure la limitation de bande passante pour les mises à jour afin de ne pas impacter les activités critiques.

Vérification :

PowerShell: Get-MpPreference | Select-Object -Property Bandwidth
BITS configuration for updates

Remédiation :

Configuration via BITS (Background Intelligent Transfer Service)
GPO: Configure BITS bandwidth throttling

Valeur par défaut : No bandwidth limitation État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S3.3.3 — Notification des échecs de mise à jour

Niveau : 🟠 Référence CIS : CIS Defender 3.13 MITRE ATT&CK : N/A

Description : Configure les notifications automatiques en cas d’échec des mises à jour pour intervention rapide.

Vérification :

PowerShell: Get-WinEvent -FilterHashtable @{LogName=‘Microsoft-Windows-Windows Defender/Operational’; ID=2001}
Event ID 2001 pour update failures

Remédiation :

Configurer les alertes Event Viewer
Intégration SIEM pour notifications centralisées

Valeur par défaut : Event logging only État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S3.3.4 — Mise à jour prioritaire en cas de menace émergente

Niveau : 🔴 Référence CIS : CIS Defender 3.14 MITRE ATT&CK : T1562.001

Description : Active les mises à jour prioritaires en cas de menaces émergentes critiques signalées par Microsoft.

Vérification :

PowerShell: Configuration automatique avec MAPS Advanced
Emergency signature updates

Remédiation :

Maintenir MAPS en mode Advanced
Assurer la connectivité cloud permanente

Valeur par défaut : Enabled with MAPS Advanced État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S3.3.5 — Historique des versions de signatures

Niveau : 🟡 Référence CIS : CIS Defender 3.15 MITRE ATT&CK : N/A

Description : Maintient un historique des versions de signatures installées pour traçabilité et dépannage.

Vérification :

PowerShell: Get-MpComputerStatus | Select-Object Signature
Event Viewer: Signature update history

Remédiation :

Configuration automatique des logs Windows
Rétention des événements sur 90 jours minimum

Valeur par défaut : 30 days retention État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S3.4.1 — Cache local des signatures

Niveau : 🟡 Référence CIS : CIS Defender 3.16 MITRE ATT&CK : N/A

Description : Configure un cache local efficace des signatures pour réduire les téléchargements répétitifs.

Vérification :

PowerShell: Get-ChildItem ‘C:\ProgramData\Microsoft\Windows Defender\Definition Updates’
Local cache directory inspection

Remédiation :

Configuration automatique par Windows Defender
Surveiller l’espace disque disponible

Valeur par défaut : Automatic caching État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S3.4.2 — Nettoyage automatique des anciennes signatures

Niveau : 🟡 Référence CIS : CIS Defender 3.17 MITRE ATT&CK : N/A

Description : Configure le nettoyage automatique des anciennes signatures pour optimiser l’espace disque.

Vérification :

PowerShell: Get-MpPreference | Select-Object -Property ScanPurgeItemsAfterDelay
Automatic cleanup configuration

Remédiation :

Set-MpPreference -ScanPurgeItemsAfterDelay 30
Configuration automatique du nettoyage

Valeur par défaut : 30 days État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S3.4.3 — Surveillance de l’espace disque pour signatures

Niveau : 🟡 Référence CIS : CIS Defender 3.18 MITRE ATT&CK : N/A

Description : Surveille l’espace disque disponible pour éviter les échecs de mise à jour dus au manque d’espace.

Vérification :

PowerShell: Get-PSDrive C | Select-Object Used,Free
Disk space monitoring for definition updates

Remédiation :

Configurer des alertes d’espace disque
Planifier le nettoyage régulier

Valeur par défaut : No specific monitoring État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S3.4.4 — Intégration avec la gestion des correctifs

Niveau : 🟠 Référence CIS : CIS Defender 3.19 MITRE ATT&CK : N/A

Description : Intègre les mises à jour Defender avec la stratégie globale de gestion des correctifs de l’organisation.

Vérification :

WSUS/SCCM: Configuration des mises à jour Defender
Update management integration

Remédiation :

Configurer WSUS pour inclure les mises à jour Defender
Coordonner avec l’équipe de gestion des correctifs

Valeur par défaut : Independent update process État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S3.4.5 — Métriques de performance des mises à jour

Niveau : 🟢 Référence CIS : CIS Defender 3.20 MITRE ATT&CK : N/A

Description : Collecte et analyse les métriques de performance des mises à jour pour optimisation continue.

Vérification :

PowerShell: Get-MpComputerStatus | Select-Object Update,Age
Performance metrics collection

Remédiation :

Établir des SLA pour les mises à jour
Surveillance continue des performances

Valeur par défaut : Basic metrics only État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

SECTION S6 — RÈGLES DE RÉDUCTION DE SURFACE D’ATTAQUE (ASR)

Objectif : Configurer et déployer l’ensemble complet des règles Attack Surface Reduction pour bloquer les vecteurs d’attaque courants.

Contrôles : 35 | Criticité moyenne : 🔴 Critique

S6.1.1 — Règle ASR: Bloquer l’exécutable créé par commandes Office

Niveau : 🔴 Référence CIS : CIS Defender 6.1 MITRE ATT&CK : T1566.001

GUID ASR : BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550

Description : Bloque la création et l’exécution d’exécutables par les applications Microsoft Office pour prévenir les macros malveillantes.

Vérification :

PowerShell: Get-MpPreference | Select-Object -ExpandProperty AttackSurfaceReductionRules_Ids
Registre: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\ASR\Rules

Remédiation :

Add-MpPreference -AttackSurfaceReductionRules_Ids BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550 -AttackSurfaceReductionRules_Actions Enabled
GPO: Windows Defender Exploit Guard > Attack Surface Reduction > BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550 = Block
Intune: Endpoint Security > Attack Surface Reduction rules

Valeur par défaut : Not configured État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S6.1.2 — Règle ASR: Bloquer Office créant des processus enfants

Niveau : 🔴 Référence CIS : CIS Defender 6.2 MITRE ATT&CK : T1566.001

GUID ASR : D4F940AB-401B-4EFC-AADC-AD5F3C50688A

Description : Empêche les applications Office de créer des processus enfants, technique couramment utilisée par les malwares.

Vérification :

PowerShell: Get-MpPreference | Select-Object -ExpandProperty AttackSurfaceReductionRules_Ids
Vérifier la présence du GUID D4F940AB-401B-4EFC-AADC-AD5F3C50688A

Remédiation :

Add-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EFC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions Enabled
GPO: ASR Rules > D4F940AB-401B-4EFC-AADC-AD5F3C50688A = Block

Valeur par défaut : Not configured État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S6.1.3 — Règle ASR: Bloquer injection dans processus Office

Niveau : 🔴 Référence CIS : CIS Defender 6.3 MITRE ATT&CK : T1055

GUID ASR : 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84

Description : Bloque l’injection de code dans les processus Microsoft Office pour prévenir la compromission des applications légitimes.

Vérification :

PowerShell: Get-MpPreference | Select-Object -ExpandProperty AttackSurfaceReductionRules_Ids
Rechercher le GUID 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84

Remédiation :

Add-MpPreference -AttackSurfaceReductionRules_Ids 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84 -AttackSurfaceReductionRules_Actions Enabled
GPO: ASR Rules > 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84 = Block

Valeur par défaut : Not configured État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S6.1.4 — Règle ASR: Bloquer JavaScript/VBScript dans Office

Niveau : 🔴 Référence CIS : CIS Defender 6.4 MITRE ATT&CK : T1059.007

GUID ASR : 3B576869-A4EC-4529-8536-B80A7769E899

Description : Empêche l’exécution de JavaScript et VBScript lancés par Microsoft Office pour bloquer les scripts malveillants.

Vérification :

PowerShell: Get-MpPreference | Select-Object -ExpandProperty AttackSurfaceReductionRules_Ids
Vérifier 3B576869-A4EC-4529-8536-B80A7769E899

Remédiation :

Add-MpPreference -AttackSurfaceReductionRules_Ids 3B576869-A4EC-4529-8536-B80A7769E899 -AttackSurfaceReductionRules_Actions Enabled
GPO: ASR Rules > 3B576869-A4EC-4529-8536-B80A7769E899 = Block

Valeur par défaut : Not configured État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S6.1.5 — Règle ASR: Bloquer macros Office avec contenu Web

Niveau : 🔴 Référence CIS : CIS Defender 6.5 MITRE ATT&CK : T1566.001

GUID ASR : 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B

Description : Bloque l’exécution de macros Office qui téléchargent du contenu depuis Internet pour prévenir les attaques par documents malveillants.

Vérification :

PowerShell: Get-MpPreference | Select-Object -ExpandProperty AttackSurfaceReductionRules_Ids
Confirmer 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B

Remédiation :

Add-MpPreference -AttackSurfaceReductionRules_Ids 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B -AttackSurfaceReductionRules_Actions Enabled
GPO: ASR Rules > 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B = Block

Valeur par défaut : Not configured État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S6.2.1 — Règle ASR: Bloquer exécutables suspects d’email

Niveau : 🔴 Référence CIS : CIS Defender 6.6 MITRE ATT&CK : T1566.001

GUID ASR : BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46551

Description : Bloque l’exécution d’exécutables provenant de clients email et webmail pour prévenir les attaques par pièces jointes.

Vérification :

PowerShell: Get-MpPreference | Select-Object -ExpandProperty AttackSurfaceReductionRules_Ids
Localiser BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46551

Remédiation :

Add-MpPreference -AttackSurfaceReductionRules_Ids BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46551 -AttackSurfaceReductionRules_Actions Enabled
GPO: ASR Rules > BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46551 = Block

Valeur par défaut : Not configured État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S6.2.2 — Règle ASR: Bloquer vol de credentials Windows LSASS

Niveau : 🔴 Référence CIS : CIS Defender 6.7 MITRE ATT&CK : T1003.001

GUID ASR : 9E6C4E1F-7D60-472F-BA1A-A39EF669E4B2

Description : Protège le processus LSASS contre les tentatives de vol de credentials par des outils comme Mimikatz.

Vérification :

PowerShell: Get-MpPreference | Select-Object -ExpandProperty AttackSurfaceReductionRules_Ids
Vérifier 9E6C4E1F-7D60-472F-BA1A-A39EF669E4B2

Remédiation :

Add-MpPreference -AttackSurfaceReductionRules_Ids 9E6C4E1F-7D60-472F-BA1A-A39EF669E4B2 -AttackSurfaceReductionRules_Actions Enabled
GPO: ASR Rules > 9E6C4E1F-7D60-472F-BA1A-A39EF669E4B2 = Block

Valeur par défaut : Not configured État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S6.2.3 — Règle ASR: Bloquer création processus via WMI

Niveau : 🟠 Référence CIS : CIS Defender 6.8 MITRE ATT&CK : T1047

GUID ASR : D1E49AAC-8F56-4280-B9BA-993A6D77406C

Description : Bloque la création de processus via les commandes WMI pour prévenir l’exécution de code à distance malveillant.

Vérification :

PowerShell: Get-MpPreference | Select-Object -ExpandProperty AttackSurfaceReductionRules_Ids
Localiser D1E49AAC-8F56-4280-B9BA-993A6D77406C

Remédiation :

Add-MpPreference -AttackSurfaceReductionRules_Ids D1E49AAC-8F56-4280-B9BA-993A6D77406C -AttackSurfaceReductionRules_Actions Enabled
GPO: ASR Rules > D1E49AAC-8F56-4280-B9BA-993A6D77406C = Block

Valeur par défaut : Not configured État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S6.2.4 — Règle ASR: Bloquer processus non signés via USB

Niveau : 🟠 Référence CIS : CIS Defender 6.9 MITRE ATT&CK : T1091

GUID ASR : B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4

Description : Bloque l’exécution de processus non signés ou de confiance faible depuis des lecteurs USB amovibles.

Vérification :

PowerShell: Get-MpPreference | Select-Object -ExpandProperty AttackSurfaceReductionRules_Ids
Vérifier B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4

Remédiation :

Add-MpPreference -AttackSurfaceReductionRules_Ids B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4 -AttackSurfaceReductionRules_Actions Enabled
GPO: ASR Rules > B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4 = Block

Valeur par défaut : Not configured État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S6.2.5 — Règle ASR: Bloquer scripts obfusqués suspects

Niveau : 🔴 Référence CIS : CIS Defender 6.10 MITRE ATT&CK : T1027

GUID ASR : 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC

Description : Bloque l’exécution de scripts JavaScript, VBScript et PowerShell obfusqués ou suspects.

Vérification :

PowerShell: Get-MpPreference | Select-Object -ExpandProperty AttackSurfaceReductionRules_Ids
Confirmer 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC

Remédiation :

Add-MpPreference -AttackSurfaceReductionRules_Ids 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC -AttackSurfaceReductionRules_Actions Enabled
GPO: ASR Rules > 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC = Block

Valeur par défaut : Not configured État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S6.3.1 — Règle ASR: Bloquer injection dans processus système

Niveau : 🔴 Référence CIS : CIS Defender 6.11 MITRE ATT&CK : T1055

GUID ASR : 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84

Description : Empêche l’injection de code dans les processus système critiques pour maintenir l’intégrité du système.

Vérification :

PowerShell: Get-MpPreference | Select-Object -ExpandProperty AttackSurfaceReductionRules_Ids
Localiser 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84

Remédiation :

Add-MpPreference -AttackSurfaceReductionRules_Ids 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84 -AttackSurfaceReductionRules_Actions Enabled
GPO: ASR Rules > 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84 = Block

Valeur par défaut : Not configured État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S6.3.2 — Règle ASR: Bloquer téléchargements depuis navigateurs

Niveau : 🟠 Référence CIS : CIS Defender 6.12 MITRE ATT&CK : T1566.002

GUID ASR : D3E037E1-3EB8-44C8-A917-57927947596D

Description : Bloque l’exécution immédiate de fichiers téléchargés depuis les navigateurs web pour permettre l’analyse.

Vérification :

PowerShell: Get-MpPreference | Select-Object -ExpandProperty AttackSurfaceReductionRules_Ids
Vérifier D3E037E1-3EB8-44C8-A917-57927947596D

Remédiation :

Add-MpPreference -AttackSurfaceReductionRules_Ids D3E037E1-3EB8-44C8-A917-57927947596D -AttackSurfaceReductionRules_Actions Enabled
GPO: ASR Rules > D3E037E1-3EB8-44C8-A917-57927947596D = Block

Valeur par défaut : Not configured État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S6.3.3 — Règle ASR: Bloquer communications avec ransomware

Niveau : 🔴 Référence CIS : CIS Defender 6.13 MITRE ATT&CK : T1486

GUID ASR : C1DB55AB-C21A-4637-BB3F-A12568109D35

Description : Bloque les communications réseau typiques des ransomwares pour interrompre leur fonctionnement.

Vérification :

PowerShell: Get-MpPreference | Select-Object -ExpandProperty AttackSurfaceReductionRules_Ids
Confirmer C1DB55AB-C21A-4637-BB3F-A12568109D35

Remédiation :

Add-MpPreference -AttackSurfaceReductionRules_Ids C1DB55AB-C21A-4637-BB3F-A12568109D35 -AttackSurfaceReductionRules_Actions Enabled
GPO: ASR Rules > C1DB55AB-C21A-4637-BB3F-A12568109D35 = Block

Valeur par défaut : Not configured État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S6.3.4 — Règle ASR: Bloquer Adobe Reader processus enfants

Niveau : 🟠 Référence CIS : CIS Defender 6.14 MITRE ATT&CK : T1566.001

GUID ASR : 7674BA52-37EB-4A4F-A9A1-F0F9A1619A2C

Description : Empêche Adobe Reader de créer des processus enfants pour prévenir l’exploitation des vulnérabilités PDF.

Vérification :

PowerShell: Get-MpPreference | Select-Object -ExpandProperty AttackSurfaceReductionRules_Ids
Localiser 7674BA52-37EB-4A4F-A9A1-F0F9A1619A2C

Remédiation :

Add-MpPreference -AttackSurfaceReductionRules_Ids 7674BA52-37EB-4A4F-A9A1-F0F9A1619A2C -AttackSurfaceReductionRules_Actions Enabled
GPO: ASR Rules > 7674BA52-37EB-4A4F-A9A1-F0F9A1619A2C = Block

Valeur par défaut : Not configured État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S6.3.5 — Règle ASR: Bloquer persistance via WMI

Niveau : 🟠 Référence CIS : CIS Defender 6.15 MITRE ATT&CK : T1546.003

GUID ASR : E6DB77E5-3DF2-4CF1-B95A-636979351E5B

Description : Bloque l’utilisation de souscriptions d’événements WMI pour établir la persistance malveillante.

Vérification :

PowerShell: Get-MpPreference | Select-Object -ExpandProperty AttackSurfaceReductionRules_Ids
Vérifier E6DB77E5-3DF2-4CF1-B95A-636979351E5B

Remédiation :

Add-MpPreference -AttackSurfaceReductionRules_Ids E6DB77E5-3DF2-4CF1-B95A-636979351E5B -AttackSurfaceReductionRules_Actions Enabled
GPO: ASR Rules > E6DB77E5-3DF2-4CF1-B95A-636979351E5B = Block

Valeur par défaut : Not configured État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S6.4.1 — Configuration mode Audit vs Block

Niveau : 🟠 Référence CIS : CIS Defender 6.16 MITRE ATT&CK : N/A

Description : Configure le mode d’évaluation (Audit) vs production (Block) pour les règles ASR selon la maturité organisationnelle.

Vérification :

PowerShell: Get-MpPreference | Select-Object -ExpandProperty AttackSurfaceReductionRules_Actions
Valeurs: 0=Disabled, 1=Block, 2=Audit, 6=Warn

Remédiation :

Phase 1 (Audit): Set-MpPreference -AttackSurfaceReductionRules_Actions AuditMode
Phase 2 (Production): Set-MpPreference -AttackSurfaceReductionRules_Actions Enabled
GPO: Configurer chaque règle individuellement

Valeur par défaut : Not configured État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S6.4.2 — Exclusions ASR documentées et justifiées

Niveau : 🟠 Référence CIS : CIS Defender 6.17 MITRE ATT&CK : N/A

Description : Maintient une liste documentée et justifiée des exclusions ASR pour les applications métier légitimes.

Vérification :

PowerShell: Get-MpPreference | Select-Object -ExpandProperty AttackSurfaceReductionOnlyExclusions
Documentation des exclusions avec justifications business

Remédiation :

Add-MpPreference -AttackSurfaceReductionOnlyExclusions ‘C:\Program Files\Business App*’
Maintenir un registre des exclusions avec approbations
Révision trimestrielle des exclusions

Valeur par défaut : No exclusions État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S6.4.3 — Surveillance des déclenchements ASR

Niveau : 🟠 Référence CIS : CIS Defender 6.18 MITRE ATT&CK : N/A

Description : Surveille et analyse les déclenchements des règles ASR pour optimisation et détection d’attaques.

Vérification :

PowerShell: Get-WinEvent -FilterHashtable @{LogName=‘Microsoft-Windows-Windows Defender/Operational’; ID=1121,1122}
Event ID 1121 (ASR Block), 1122 (ASR Audit)

Remédiation :

Configurer la collecte centralisée des événements ASR
Établir des alertes pour déclenchements fréquents
Analyse hebdomadaire des patterns

Valeur par défaut : Local logging only État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S6.4.4 — Intégration ASR avec SIEM

Niveau : 🟡 Référence CIS : CIS Defender 6.19 MITRE ATT&CK : N/A

Description : Intègre les événements ASR avec la solution SIEM pour corrélation avec d’autres événements de sécurité.

Vérification :

SIEM Configuration: Réception des Event ID 1121, 1122, 5007
Windows Event Forwarding configuration

Remédiation :

Configurer WEF pour transférer les événements ASR
Créer des règles de corrélation SIEM
Dashboard de supervision ASR

Valeur par défaut : No SIEM integration État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S6.4.5 — Règle ASR: Bloquer exécution depuis dossiers système

Niveau : 🔴 Référence CIS : CIS Defender 6.20 MITRE ATT&CK : T1036.005

GUID ASR : 01443614-cd74-433a-b99e-2ecdc07bfc25

Description : Bloque l’exécution d’exécutables depuis des dossiers système non autorisés pour prévenir le masquerading.

Vérification :

PowerShell: Get-MpPreference | Select-Object -ExpandProperty AttackSurfaceReductionRules_Ids
Vérifier 01443614-cd74-433a-b99e-2ecdc07bfc25

Remédiation :

Add-MpPreference -AttackSurfaceReductionRules_Ids 01443614-cd74-433a-b99e-2ecdc07bfc25 -AttackSurfaceReductionRules_Actions Enabled
GPO: ASR Rules > 01443614-cd74-433a-b99e-2ecdc07bfc25 = Block

Valeur par défaut : Not configured État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S6.5.1 — Performance et impact des règles ASR

Niveau : 🟡 Référence CIS : CIS Defender 6.21 MITRE ATT&CK : N/A

Description : Évalue l’impact performance des règles ASR et optimise pour équilibrer sécurité et productivité.

Vérification :

PowerShell: Mesure des temps de démarrage et d’exécution d’applications
Performance counters Windows Defender

Remédiation :

Baseline des performances avant activation ASR
Monitoring continu post-déploiement
Ajustement des exclusions si nécessaire

Valeur par défaut : No performance monitoring État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S6.5.2 — Tests de régression ASR

Niveau : 🟡 Référence CIS : CIS Defender 6.22 MITRE ATT&CK : N/A

Description : Effectue des tests de régression réguliers pour s’assurer que les règles ASR n’impactent pas les applications métier.

Vérification :

Test Environment: Validation des applications critiques
User Acceptance Testing results

Remédiation :

Établir un environnement de test ASR
Scripts de tests automatisés pour applications critiques
Processus de validation avant mise en production

Valeur par défaut : No systematic testing État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S6.5.3 — Déploiement progressif des règles ASR

Niveau : 🟠 Référence CIS : CIS Defender 6.23 MITRE ATT&CK : N/A

Description : Implémente un déploiement progressif des règles ASR par phases pour minimiser les disruptions.

Vérification :

Deployment Phase Tracking: Audit > Warn > Block
Group Policy ou Intune ring deployment

Remédiation :

Phase 1: Mode Audit sur groupe pilote (2 semaines)
Phase 2: Mode Warn sur population élargie (2 semaines)
Phase 3: Mode Block sur toute l’organisation

Valeur par défaut : No phased deployment État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S6.5.4 — Formation utilisateurs sur ASR

Niveau : 🟡 Référence CIS : CIS Defender 6.24 MITRE ATT&CK : N/A

Description : Forme les utilisateurs sur les impacts des règles ASR et les procédures d’escalade en cas de blocage légitime.

Vérification :

Training Completion Rate: Suivi des formations utilisateurs
Help Desk ticket trends related to ASR

Remédiation :

Matériel de formation sur les nouvelles restrictions
Procédures d’escalade pour demandes d’exclusion
FAQ et documentation utilisateur

Valeur par défaut : No user training État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S6.5.5 — Métriques et reporting ASR

Niveau : 🟢 Référence CIS : CIS Defender 6.25 MITRE ATT&CK : N/A

Description : Établit des métriques et reporting régulier de l’efficacité et de l’impact des règles ASR.

Vérification :

Monthly ASR Reports: Nombre de blocages, exclusions, performances
Executive dashboard avec KPIs sécurité

Remédiation :

Collecter métriques mensuelles ASR
Reports executifs sur efficacité sécurité
Recommandations d’optimisation basées sur données

Valeur par défaut : No systematic reporting État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

SECTION S4 — ANALYSES PROGRAMMÉES

Objectif : Configurer et optimiser les analyses antivirus programmées pour maintenir la sécurité sans impacter la productivité.

Contrôles : 20 | Criticité moyenne : 🟠 Élevé

S4.1.1 — Configuration de l’analyse complète hebdomadaire

Niveau : 🔴 Référence CIS : CIS Defender 4.1 MITRE ATT&CK : T1562.001

Description : Configure une analyse complète hebdomadaire automatique pour détecter les menaces persistantes et dormantes.

Vérification :

PowerShell: Get-MpPreference | Select-Object -Property ScanScheduleDay,ScanScheduleTime,ScanParameters
Task Scheduler: Microsoft\Windows\Windows Defender\Windows Defender Scheduled Scan

Remédiation :

Set-MpPreference -ScanScheduleDay 0 -ScanScheduleTime 02:00:00 -ScanParameters 2
GPO: Scan > Specify the scan type to use for a scheduled scan = Full scan
Configurer pour dimanche 2h00 du matin

Valeur par défaut : Quick scan daily État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S4.1.2 — Analyse rapide quotidienne

Niveau : 🟠 Référence CIS : CIS Defender 4.2 MITRE ATT&CK : T1562.001

Description : Maintient une analyse rapide quotidienne pour détecter les menaces actives dans les emplacements critiques du système.

Vérification :

PowerShell: Get-MpPreference | Select-Object -Property ScanScheduleQuickScanTime
Daily quick scan configuration

Remédiation :

Set-MpPreference -ScanScheduleQuickScanTime 12:00:00
GPO: Specify the time for a daily quick scan = 12:00
Programmer pendant les heures de faible activité

Valeur par défaut : 2:00 AM daily État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S4.1.3 — Limitation CPU pour analyses programmées

Niveau : 🟡 Référence CIS : CIS Defender 4.3 MITRE ATT&CK : N/A

Description : Configure la limitation d’utilisation CPU pendant les analyses pour préserver les performances système.

Vérification :

PowerShell: Get-MpPreference | Select-Object -Property ScanAvgCPULoadFactor
CPU usage limit configuration

Remédiation :

Set-MpPreference -ScanAvgCPULoadFactor 30
GPO: Specify the maximum percentage of CPU utilization during a scan = 30%
Ajuster selon la charge de travail système

Valeur par défaut : 50% État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S4.1.4 — Analyse de rattrapage pour systèmes hors ligne

Niveau : 🟠 Référence CIS : CIS Defender 4.4 MITRE ATT&CK : N/A

Description : Active l’analyse de rattrapage automatique pour les systèmes qui étaient hors ligne pendant l’analyse programmée.

Vérification :

PowerShell: Get-MpPreference | Select-Object -Property DisableCatchupFullScan,DisableCatchupQuickScan
Catch-up scan configuration

Remédiation :

Set-MpPreference -DisableCatchupFullScan -DisableCatchupQuickScan
GPO: Start the scheduled scan only when computer is on but not in use = Disabled
Permettre les analyses de rattrapage

Valeur par défaut : Enabled État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S4.1.5 — Analyse uniquement si inactif

Niveau : 🟡 Référence CIS : CIS Defender 4.5 MITRE ATT&CK : N/A

Description : Configure les analyses pour s’exécuter uniquement lorsque le système est inactif pour minimiser l’impact utilisateur.

Vérification :

PowerShell: Get-MpPreference | Select-Object -Property ScanOnlyIfIdleEnabled
Task Scheduler conditions for Defender scans

Remédiation :

Set-MpPreference -ScanOnlyIfIdleEnabled
GPO: Start the scheduled scan only when computer is on but not in use = Enabled
Configurer seuil d’inactivité approprié

Valeur par défaut : Disabled État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S4.2.1 — Analyse des lecteurs réseau dans les scans programmés

Niveau : 🟡 Référence CIS : CIS Defender 4.6 MITRE ATT&CK : T1021.002

Description : Configure l’inclusion des lecteurs réseau mappés dans les analyses programmées selon les besoins de sécurité.

Vérification :

PowerShell: Get-MpPreference | Select-Object -Property DisableScanningNetworkFiles
Network drive scanning in scheduled scans

Remédiation :

Set-MpPreference -DisableScanningNetworkFiles
GPO: Scan mapped network drives = Enabled
Évaluer l’impact performance réseau

Valeur par défaut : Disabled État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S4.2.2 — Analyse des archives dans les scans programmés

Niveau : 🟠 Référence CIS : CIS Defender 4.7 MITRE ATT&CK : T1027.002

Description : Active l’analyse approfondie des archives et fichiers compressés pendant les analyses programmées.

Vérification :

PowerShell: Get-MpPreference | Select-Object -Property DisableArchiveScanning
Archive scanning configuration

Remédiation :

Set-MpPreference -DisableArchiveScanning
GPO: Scan archive files = Enabled
Considérer l’impact sur durée d’analyse

Valeur par défaut : Enabled État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S4.2.3 — Profondeur maximale d’analyse des archives

Niveau : 🟡 Référence CIS : CIS Defender 4.8 MITRE ATT&CK : T1027.002

Description : Configure la profondeur maximale d’analyse des archives imbriquées pour équilibrer sécurité et performance.

Vérification :

PowerShell: Configuration intégrée dans DisableArchiveScanning
Archive depth scanning limits

Remédiation :

Configuration automatique via Windows Defender
Surveillance des performances d’analyse
Ajustement si timeouts fréquents

Valeur par défaut : Standard depth État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S4.2.4 — Analyse des emails dans les scans programmés

Niveau : 🟠 Référence CIS : CIS Defender 4.9 MITRE ATT&CK : T1566.001

Description : Include l’analyse des fichiers email et bases de données de messagerie dans les analyses programmées.

Vérification :

PowerShell: Get-MpPreference | Select-Object -Property DisableEmailScanning
Email scanning in scheduled scans

Remédiation :

Set-MpPreference -DisableEmailScanning
GPO: Scan e-mail = Enabled
Coordonner avec équipes messaging

Valeur par défaut : Enabled État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S4.2.5 — Analyse des supports amovibles

Niveau : 🟠 Référence CIS : CIS Defender 4.10 MITRE ATT&CK : T1091

Description : Configure l’analyse automatique des supports amovibles lors de leur connexion et pendant les scans programmés.

Vérification :

PowerShell: Get-MpPreference | Select-Object -Property DisableRemovableDriveScanning
Removable drive scanning policy

Remédiation :

Set-MpPreference -DisableRemovableDriveScanning
GPO: Scan removable drives = Enabled
Équilibrer sécurité et commodité utilisateur

Valeur par défaut : Enabled État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S4.3.1 — Mise à jour des signatures avant analyse

Niveau : 🟠 Référence CIS : CIS Defender 4.11 MITRE ATT&CK : T1562.001

Description : Force la mise à jour des signatures antivirus avant chaque analyse programmée pour maximiser la détection.

Vérification :

PowerShell: Get-MpPreference | Select-Object -Property CheckForSignaturesBeforeRunningScan
Pre-scan signature update policy

Remédiation :

Set-MpPreference -CheckForSignaturesBeforeRunningScan
GPO: Check for the latest virus and spyware definitions before running a scheduled scan = Enabled

Valeur par défaut : Enabled État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S4.3.2 — Timeout pour analyses longues

Niveau : 🟡 Référence CIS : CIS Defender 4.12 MITRE ATT&CK : N/A

Description : Configure un timeout raisonnable pour les analyses programmées afin d’éviter les blocages système prolongés.

Vérification :

PowerShell: Get-MpPreference | Select-Object -Property ScanTimeout
Scan timeout configuration

Remédiation :

Configuration via GPO si nécessaire
Surveiller les analyses qui n’aboutissent pas
Ajuster selon la taille des systèmes

Valeur par défaut : No timeout État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S4.3.3 — Exclusions spécifiques aux analyses programmées

Niveau : 🟡 Référence CIS : CIS Defender 4.13 MITRE ATT&CK : N/A

Description : Configure des exclusions spécifiques pour les analyses programmées pour optimiser les performances sans compromettre la sécurité.

Vérification :

PowerShell: Get-MpPreference | Select-Object -Property ExclusionPath,ExclusionExtension
Scheduled scan specific exclusions

Remédiation :

Évaluer les exclusions nécessaires pour bases de données
Documenter et justifier chaque exclusion
Révision régulière des exclusions

Valeur par défaut : Global exclusions apply État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S4.3.4 — Priorité des processus d’analyse

Niveau : 🟡 Référence CIS : CIS Defender 4.14 MITRE ATT&CK : N/A

Description : Configure la priorité des processus d’analyse programmée pour équilibrer sécurité et performance système.

Vérification :

PowerShell: Process priority configuration (automatique)
Task Manager: Priorité des processus Defender

Remédiation :

Configuration automatique par Windows Defender
Surveiller l’impact sur les performances
Ajustement via exclusions si nécessaire

Valeur par défaut : Normal priority État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S4.3.5 — Planification intelligente des analyses

Niveau : 🟢 Référence CIS : CIS Defender 4.15 MITRE ATT&CK : N/A

Description : Implémente une planification intelligente qui adapte les heures d’analyse selon les patterns d’utilisation système.

Vérification :

Task Scheduler: Conditions d’exécution adaptatives
Machine Learning basé sur utilisation historique

Remédiation :

Analyser les patterns d’utilisation système
Ajuster les heures d’analyse dynamiquement
Feedback utilisateur pour optimisation

Valeur par défaut : Fixed schedule État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S4.4.1 — Reporting des résultats d’analyses programmées

Niveau : 🟡 Référence CIS : CIS Defender 4.16 MITRE ATT&CK : N/A

Description : Configure le reporting automatique des résultats d’analyses programmées pour suivi centralisé.

Vérification :

PowerShell: Get-MpThreatDetection pour historique
Event Viewer: Microsoft-Windows-Windows Defender/Operational

Remédiation :

Configurer la centralisation des logs d’analyse
Alertes automatiques en cas de détections
Rapports hebdomadaires de synthèse

Valeur par défaut : Local logging only État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S4.4.2 — Surveillance des échecs d’analyses programmées

Niveau : 🟠 Référence CIS : CIS Defender 4.17 MITRE ATT&CK : T1562.001

Description : Surveille et alerte sur les échecs d’analyses programmées pour intervention rapide.

Vérification :

PowerShell: Get-WinEvent -FilterHashtable @{LogName=‘Microsoft-Windows-Windows Defender/Operational’; ID=1005}
Event ID 1005 pour scan failures

Remédiation :

Configurer alertes sur échecs d’analyse
Processus d’escalade automatique
Investigation des causes racines

Valeur par défaut : No automatic alerting État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S4.4.3 — Métriques de performance des analyses

Niveau : 🟡 Référence CIS : CIS Defender 4.18 MITRE ATT&CK : N/A

Description : Collecte et analyse les métriques de performance des analyses pour optimisation continue.

Vérification :

PowerShell: Durée d’analyse, fichiers scannés, détections
Performance baselines et trending

Remédiation :

Établir des baselines de performance
Monitoring des tendances de durée
Optimisation basée sur les données

Valeur par défaut : Basic metrics collection État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S4.4.4 — Intégration avec outils de monitoring

Niveau : 🟡 Référence CIS : CIS Defender 4.19 MITRE ATT&CK : N/A

Description : Intègre les métriques d’analyses avec les outils de monitoring système pour vue d’ensemble.

Vérification :

SCOM/Nagios/Zabbix: Intégration des métriques Defender
Dashboard centralisé de sécurité

Remédiation :

Configurer les connecteurs monitoring
Seuils d’alerte appropriés
Corrélation avec autres métriques système

Valeur par défaut : No external integration État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S4.4.5 — Archivage des historiques d’analyse

Niveau : 🟢 Référence CIS : CIS Defender 4.20 MITRE ATT&CK : N/A

Description : Maintient un archivage approprié des historiques d’analyse pour audit et conformité.

Vérification :

PowerShell: Get-MpPreference | Select-Object -Property ScanPurgeItemsAfterDelay
Log retention policy configuration

Remédiation :

Configurer rétention logs 12 mois minimum
Archivage automatique des anciens logs
Procédures de récupération pour audit

Valeur par défaut : 30 days retention État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

SECTION S5 — GESTION DES EXCLUSIONS

Objectif : Gérer rigoureusement les exclusions antivirus pour maintenir la sécurité tout en évitant les conflits avec les applications légitimes.

Contrôles : 15 | Criticité moyenne : 🟠 Élevé

S5.1.1 — Inventaire documenté des exclusions

Niveau : 🔴 Référence CIS : CIS Defender 5.1 MITRE ATT&CK : T1562.001

Description : Maintient un inventaire complet et documenté de toutes les exclusions antivirus avec justifications métier.

Vérification :

PowerShell: Get-MpPreference | Select-Object -Property ExclusionPath,ExclusionExtension,ExclusionProcess
Documentation formelle des exclusions avec approbations

Remédiation :

Créer registre centralisé des exclusions
Justification métier obligatoire pour chaque exclusion
Approbation formelle par équipe sécurité

Valeur par défaut : No documented exclusions État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S5.1.2 — Exclusions de chemins avec wildcards sécurisés

Niveau : 🟠 Référence CIS : CIS Defender 5.2 MITRE ATT&CK : T1562.001

Description : Configure les exclusions de chemins avec des wildcards spécifiques pour éviter les exclusions trop larges.

Vérification :

PowerShell: Get-MpPreference | Select-Object -ExpandProperty ExclusionPath
Audit des wildcards potentiellement dangereux

Remédiation :

Éviter les exclusions type ‘C:*’ ou ‘.’
Utiliser chemins spécifiques: ‘C:\Program Files\AppName*’
Révision régulière des wildcards

Valeur par défaut : No path exclusions État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S5.1.3 — Exclusions d’extensions strictement limitées

Niveau : 🟠 Référence CIS : CIS Defender 5.3 MITRE ATT&CK : T1562.001

Description : Limite strictement les exclusions d’extensions de fichiers aux besoins métier légitimes documentés.

Vérification :

PowerShell: Get-MpPreference | Select-Object -ExpandProperty ExclusionExtension
Audit des extensions exclues potentiellement risquées

Remédiation :

Interdire exclusions .exe, .dll, .scr, .bat, .cmd
Limiter aux extensions spécifiques métier (.dbf, .lck, etc.)
Révision mensuelle des exclusions d’extensions

Valeur par défaut : No extension exclusions État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S5.1.4 — Exclusions de processus avec validation sécurité

Niveau : 🔴 Référence CIS : CIS Defender 5.4 MITRE ATT&CK : T1562.001

Description : Valide rigoureusement les exclusions de processus pour éviter l’exclusion de processus potentiellement malveillants.

Vérification :

PowerShell: Get-MpPreference | Select-Object -ExpandProperty ExclusionProcess
Validation sécurité de chaque processus exclu

Remédiation :

Signature numérique obligatoire pour processus exclus
Validation par équipe sécurité
Surveillance renforcée des processus exclus

Valeur par défaut : No process exclusions État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S5.1.5 — Exclusions temporaires avec échéance

Niveau : 🟠 Référence CIS : CIS Defender 5.5 MITRE ATT&CK : T1562.001

Description : Implémente un système d’exclusions temporaires avec dates d’échéance automatiques pour révision.

Vérification :

Documentation: Suivi des dates d’échéance des exclusions temporaires
Processus de révision automatique

Remédiation :

Système de tickets avec dates d’échéance
Révision automatique mensuelle
Suppression auto des exclusions expirées

Valeur par défaut : No temporary exclusion system État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S5.2.1 — Exclusions pour applications métier critiques

Niveau : 🟡 Référence CIS : CIS Defender 5.6 MITRE ATT&CK : N/A

Description : Configure des exclusions appropriées pour les applications métier critiques tout en maintenant la sécurité maximale.

Vérification :

PowerShell: Exclusions spécifiques aux applications identifiées
Performance et stabilité des applications critiques

Remédiation :

Identifier applications nécessitant exclusions
Exclusions minimales nécessaires uniquement
Monitoring renforcé des répertoires exclus

Valeur par défaut : No business application exclusions État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S5.2.2 — Exclusions pour bases de données

Niveau : 🟡 Référence CIS : CIS Defender 5.7 MITRE ATT&CK : N/A

Description : Configure les exclusions appropriées pour les systèmes de bases de données selon les recommandations des éditeurs.

Vérification :

PowerShell: Exclusions pour SQL Server, Oracle, MongoDB, etc.
Documentation éditeur des exclusions recommandées

Remédiation :

Suivre recommendations Microsoft SQL Server
Exclusions spécifiques aux fichiers de données (.mdf, .ldf)
Surveillance des répertoires de données

Valeur par défaut : No database exclusions État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S5.2.3 — Exclusions pour systèmes de sauvegarde

Niveau : 🟡 Référence CIS : CIS Defender 5.8 MITRE ATT&CK : N/A

Description : Configure les exclusions nécessaires pour les systèmes de sauvegarde pour éviter les corruptions et améliorer les performances.

Vérification :

PowerShell: Exclusions pour Veeam, Acronis, Backup Exec, etc.
Performance et intégrité des sauvegardes

Remédiation :

Exclusions selon documentation éditeur backup
Surveillance des performances de sauvegarde
Tests d’intégrité réguliers

Valeur par défaut : No backup system exclusions État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S5.2.4 — Exclusions pour outils de développement

Niveau : 🟡 Référence CIS : CIS Defender 5.9 MITRE ATT&CK : T1127

Description : Balance les exclusions pour outils de développement entre productivité et sécurité, avec surveillance renforcée.

Vérification :

PowerShell: Exclusions pour Visual Studio, compilers, etc.
Monitoring activité dans répertoires de développement

Remédiation :

Exclusions limitées aux répertoires projets
Surveillance renforcée activité développement
Formation développeurs sur sécurité

Valeur par défaut : No development tool exclusions État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S5.2.5 — Exclusions pour services système critiques

Niveau : 🟠 Référence CIS : CIS Defender 5.10 MITRE ATT&CK : T1562.001

Description : Configure prudemment les exclusions pour les services système Windows critiques selon les guidelines Microsoft.

Vérification :

PowerShell: Exclusions pour services Windows essentiels
Guidelines Microsoft pour exclusions système

Remédiation :

Suivre strictement recommandations Microsoft
Exclusions minimales pour fonctionnement système
Documentation de chaque exclusion système

Valeur par défaut : Automatic system exclusions État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S5.3.1 — Processus d’approbation des exclusions

Niveau : 🔴 Référence CIS : CIS Defender 5.11 MITRE ATT&CK : T1562.001

Description : Établit un processus formel d’approbation pour toutes les demandes d’exclusion avec validation sécurité.

Vérification :

Documentation: Processus d’approbation documenté et suivi
Traçabilité des approbations et refus

Remédiation :

Formulaire standardisé de demande d’exclusion
Validation obligatoire par équipe sécurité
Approbation du management pour exclusions critiques

Valeur par défaut : No formal approval process État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S5.3.2 — Tests d’impact avant exclusion

Niveau : 🟠 Référence CIS : CIS Defender 5.12 MITRE ATT&CK : N/A

Description : Effectue des tests d’impact sécurité avant d’implémenter de nouvelles exclusions.

Vérification :

Test Environment: Validation impact sécurité des exclusions
Simulation d’attaques sur zones exclues

Remédiation :

Tests en environnement isolé
Évaluation risques vs bénéfices
Plan de rollback en cas de problème

Valeur par défaut : No systematic testing État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S5.3.3 — Surveillance renforcée des zones exclues

Niveau : 🔴 Référence CIS : CIS Defender 5.13 MITRE ATT&CK : T1562.001

Description : Implémente une surveillance sécurité renforcée des répertoires et processus exclus de l’antivirus.

Vérification :

SIEM: Monitoring activité dans zones exclues
File Integrity Monitoring sur répertoires exclus

Remédiation :

Configurer FIM sur tous répertoires exclus
Alertes sur modifications dans zones exclues
Corrélation avec autres événements sécurité

Valeur par défaut : No enhanced monitoring État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S5.3.4 — Révision périodique des exclusions

Niveau : 🟠 Référence CIS : CIS Defender 5.14 MITRE ATT&CK : T1562.001

Description : Effectue une révision trimestrielle de toutes les exclusions pour valider leur pertinence continue.

Vérification :

Documentation: Planning et résultats des révisions trimestrielles
Actions correctives suite aux révisions

Remédiation :

Calendrier de révision trimestrielle
Validation continue de la nécessité métier
Suppression des exclusions obsolètes

Valeur par défaut : No periodic review État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S5.3.5 — Métriques et reporting des exclusions

Niveau : 🟡 Référence CIS : CIS Defender 5.15 MITRE ATT&CK : N/A

Description : Collecte des métriques sur l’utilisation des exclusions et leur impact sur la posture de sécurité.

Vérification :

Reporting: Nombre d’exclusions, types, évolution temporelle
Métriques d’impact sécurité

Remédiation :

Dashboard des exclusions actives
Métriques d’impact performance et sécurité
Rapports mensuels pour management

Valeur par défaut : No systematic metrics État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

SECTION S7 — PROTECTION RÉSEAU

Objectif : Configurer la protection réseau Microsoft Defender pour bloquer les connexions malveillantes et sécuriser la navigation web.

Contrôles : 15 | Criticité moyenne : 🔴 Critique

S7.1.1 — Activation de la protection réseau

Niveau : 🔴 Référence CIS : CIS Defender 7.1 MITRE ATT&CK : T1071

Description : Active la protection réseau Microsoft Defender pour bloquer les connexions vers des domaines et IPs malveillants connus.

Vérification :

PowerShell: Get-MpPreference | Select-Object -Property EnableNetworkProtection
Registre: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\Network Protection\EnableNetworkProtection

Remédiation :

Set-MpPreference -EnableNetworkProtection Enabled
GPO: Prevent users and apps from accessing dangerous websites = Enabled (Block mode)
Intune: Endpoint Security > Attack Surface Reduction > Network Protection

Valeur par défaut : Disabled État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S7.1.2 — Configuration SmartScreen pour Microsoft Edge

Niveau : 🔴 Référence CIS : CIS Defender 7.2 MITRE ATT&CK : T1566.002

Description : Active et configure Microsoft Defender SmartScreen dans Edge pour bloquer les sites web et téléchargements malveillants.

Vérification :

PowerShell: Get-ItemProperty -Path ‘HKLM:\SOFTWARE\Policies\Microsoft\Edge’ -Name SmartScreenEnabled
Edge: edge://settings/privacy > Security

Remédiation :

GPO: Computer Config > Administrative Templates > Microsoft Edge > SmartScreenEnabled = 1
GPO: SmartScreenPuaEnabled = 1
Intune: Administrative Templates > Microsoft Edge

Valeur par défaut : Enabled État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S7.1.3 — SmartScreen pour applications et fichiers

Niveau : 🔴 Référence CIS : CIS Defender 7.3 MITRE ATT&CK : T1204.002

Description : Active SmartScreen pour vérifier la réputation des applications et fichiers téléchargés depuis Internet.

Vérification :

PowerShell: Get-ItemProperty -Path ‘HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer’ -Name SmartScreenEnabled
Windows Security: App & browser control > Reputation-based protection

Remédiation :

GPO: Computer Config > Administrative Templates > Windows Components > File Explorer > Configure Windows Defender SmartScreen = Enabled
Set-ItemProperty -Path ‘HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer’ -Name SmartScreenEnabled -Value ‘RequireAdmin’

Valeur par défaut : Enabled (Warn) État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S7.1.4 — Protection contre les applications potentiellement indésirables (PUA)

Niveau : 🟠 Référence CIS : CIS Defender 7.4 MITRE ATT&CK : T1566.001

Description : Active la détection et le blocage des applications potentiellement indésirables (PUA) via SmartScreen et Defender.

Vérification :

PowerShell: Get-MpPreference | Select-Object -Property PUAProtection
Registre: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\PUAProtection

Remédiation :

Set-MpPreference -PUAProtection Enabled
GPO: Configure detection for potentially unwanted applications = Enabled
SmartScreen PUA protection in browsers

Valeur par défaut : Disabled État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S7.1.5 — Filtrage DNS avec protection contre le DNS poisoning

Niveau : 🟠 Référence CIS : CIS Defender 7.5 MITRE ATT&CK : T1071.004

Description : Configure la protection DNS pour bloquer les requêtes vers des domaines malveillants et prévenir le DNS poisoning.

Vérification :

PowerShell: Get-DnsClientServerAddress pour vérifier serveurs DNS sécurisés
Network Protection integration avec DNS filtering

Remédiation :

Configurer DNS sécurisés (1.1.1.1, 8.8.8.8, ou DNS d’entreprise filtrants)
Activer Network Protection pour filtrage complémentaire
Monitorer requêtes DNS suspectes

Valeur par défaut : ISP DNS État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S7.2.1 — Blocage des connexions sortantes suspectes

Niveau : 🟠 Référence CIS : CIS Defender 7.6 MITRE ATT&CK : T1071

Description : Configure le blocage automatique des connexions sortantes vers des IPs et domaines identifiés comme malveillants.

Vérification :

PowerShell: Get-WinEvent -FilterHashtable @{LogName=‘Microsoft-Windows-Windows Defender/Operational’; ID=1125,1126}
Network Protection block events

Remédiation :

Activer Network Protection en mode Block
Surveiller Event ID 1125 (Network Protection block)
Whitelist des domaines légitimes si nécessaire

Valeur par défaut : No automatic blocking État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S7.2.2 — Protection contre l’exfiltration de données

Niveau : 🟠 Référence CIS : CIS Defender 7.7 MITRE ATT&CK : T1041

Description : Surveille et bloque les tentatives d’exfiltration de données vers des destinations non autorisées.

Vérification :

Network Protection: Surveillance des connexions suspectes
Integration avec DLP policies

Remédiation :

Configurer Network Protection pour surveillance avancée
Intégrer avec Microsoft 365 DLP
Alertes sur volumes de données inhabituels

Valeur par défaut : Basic monitoring État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S7.2.3 — Blocage des communications C&C (Command and Control)

Niveau : 🔴 Référence CIS : CIS Defender 7.8 MITRE ATT&CK : T1071

Description : Détecte et bloque les communications avec des serveurs de commande et contrôle de malwares.

Vérification :

Network Protection: Détection patterns C&C
Threat Intelligence integration

Remédiation :

Maintenir Network Protection à jour
Intégrer feeds de threat intelligence
Surveillance des connexions périodiques suspectes

Valeur par défaut : Included in Network Protection État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S7.2.4 — Protection contre les attaques par déni de service

Niveau : 🟡 Référence CIS : CIS Defender 7.9 MITRE ATT&CK : T1498

Description : Configure la protection contre les attaques DoS locales et aide à la détection des participations à des DDoS.

Vérification :

Network Protection: Détection de patterns DoS
Windows Firewall advanced rules

Remédiation :

Configurer Windows Firewall avec règles anti-DoS
Surveillance des connexions anormalement élevées
Limitation des connexions sortantes par processus

Valeur par défaut : Basic Windows Firewall protection État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S7.2.5 — Inspection SSL/TLS et détection de certificats malveillants

Niveau : 🟡 Référence CIS : CIS Defender 7.10 MITRE ATT&CK : T1553.004

Description : Configure la validation des certificats SSL/TLS et la détection de certificats compromis ou malveillants.

Vérification :

Certificate Store: Validation des autorités de certification
SmartScreen certificate validation

Remédiation :

Maintenir à jour les listes de révocation
Configurer la validation stricte des certificats
Alertes sur certificats auto-signés suspects

Valeur par défaut : Standard certificate validation État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S7.3.1 — Intégration avec Windows Firewall

Niveau : 🟠 Référence CIS : CIS Defender 7.11 MITRE ATT&CK : T1562.004

Description : Intègre Network Protection avec Windows Firewall pour une défense en profondeur coordonnée.

Vérification :

PowerShell: Get-NetFirewallProfile | Select-Object -Property Name,Enabled,DefaultInboundAction,DefaultOutboundAction
Windows Firewall coordination avec Network Protection

Remédiation :

Maintenir Windows Firewall activé sur tous profils
Coordonner règles Firewall avec Network Protection
Logging centralisé des événements firewall

Valeur par défaut : Basic integration État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S7.3.2 — Configuration proxy et inspection du trafic

Niveau : 🟡 Référence CIS : CIS Defender 7.12 MITRE ATT&CK : T1071

Description : Configure l’inspection du trafic via proxy d’entreprise en coordination avec Network Protection.

Vérification :

PowerShell: netsh winhttp show proxy
Proxy configuration et inspection SSL

Remédiation :

Configurer proxy transparent si possible
Coordination avec Network Protection
Bypass appropriés pour services Microsoft

Valeur par défaut : Direct connection État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S7.3.3 — Surveillance des connexions P2P et BitTorrent

Niveau : 🟡 Référence CIS : CIS Defender 7.13 MITRE ATT&CK : T1071.001

Description : Détecte et contrôle les connexions peer-to-peer et BitTorrent pour prévenir les fuites de données et malwares.

Vérification :

Network monitoring: Détection protocols P2P
Traffic analysis pour patterns BitTorrent

Remédiation :

Configurer détection de trafic P2P
Bloquer ports BitTorrent standards
Alertes sur utilisation de protocoles P2P

Valeur par défaut : No specific P2P monitoring État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S7.3.4 — Protection contre les attaques de réseaux sans fil

Niveau : 🟡 Référence CIS : CIS Defender 7.14 MITRE ATT&CK : T1200

Description : Configure la protection contre les attaques via réseaux WiFi compromis et points d’accès malveillants.

Vérification :

Windows WiFi profiles et sécurité
Network Protection sur connexions sans fil

Remédiation :

Désactiver auto-connexion réseaux ouverts
Forcer WPA3 ou WPA2 minimum
Surveillance des connexions WiFi suspectes

Valeur par défaut : Basic WiFi security État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S7.3.5 — Reporting et métriques de protection réseau

Niveau : 🟢 Référence CIS : CIS Defender 7.15 MITRE ATT&CK : N/A

Description : Configure le reporting détaillé des activités de protection réseau pour analyse et optimisation.

Vérification :

PowerShell: Get-WinEvent Network Protection events
SIEM integration pour événements réseau

Remédiation :

Configurer logging détaillé Network Protection
Dashboards de surveillance réseau
Métriques d’efficacité de blocage

Valeur par défaut : Basic event logging État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

SECTION S10 — MICROSOFT DEFENDER FOR ENDPOINT

Objectif : Configurer et déployer Microsoft Defender for Endpoint pour une protection avancée et une réponse aux incidents automatisée.

Contrôles : 25 | Criticité moyenne : 🔴 Critique

S10.1.1 — Déploiement et onboarding MDE

Niveau : 🔴 Référence CIS : CIS Defender 10.1 MITRE ATT&CK : N/A

Description : Déploie et configure l’onboarding Microsoft Defender for Endpoint sur tous les endpoints de l’organisation.

Vérification :

PowerShell: Get-Service -Name Sense | Select-Object Name,Status,StartType
Microsoft 365 Defender Portal: Device inventory et health status

Remédiation :

Télécharger package d’onboarding depuis M365 Defender Portal
Déployer via GPO, Intune, ou SCCM
Vérifier connectivity: Test-NetConnection winatp-gw-cus.microsoft.com -Port 443

Valeur par défaut : Not deployed État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S10.1.2 — Configuration des politiques de détection EDR

Niveau : 🔴 Référence CIS : CIS Defender 10.2 MITRE ATT&CK : T1562.001

Description : Configure les politiques de détection EDR (Endpoint Detection and Response) pour une surveillance comportementale avancée.

Vérification :

M365 Defender Portal: Settings > Endpoints > Advanced features
EDR in block mode configuration

Remédiation :

Activer EDR in block mode
Configurer les règles de détection personnalisées
Ajuster sensibilité selon environnement

Valeur par défaut : Standard detection rules État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S10.1.3 — Configuration de l’investigation automatisée (AIR)

Niveau : 🟠 Référence CIS : CIS Defender 10.3 MITRE ATT&CK : T1562.001

Description : Active et configure l’investigation et réponse automatisées (AIR) pour réduire les temps de réponse aux incidents.

Vérification :

M365 Defender Portal: Settings > Endpoints > Advanced features > Automated investigation
AIR automation level configuration

Remédiation :

Configurer automation level: Semi-automated ou Full automated
Définir actions automatiques approuvées
Surveillance des actions AIR

Valeur par défaut : Semi-automated État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S10.1.4 — Configuration Advanced Hunting

Niveau : 🟠 Référence CIS : CIS Defender 10.4 MITRE ATT&CK : N/A

Description : Configure et utilise Advanced Hunting pour la recherche proactive de menaces avec des requêtes KQL personnalisées.

Vérification :

M365 Defender Portal: Hunting > Advanced hunting
Bibliothèque de requêtes personnalisées

Remédiation :

Créer requêtes de chasse personnalisées
Programmer des requêtes récurrentes
Intégrer résultats avec workflows d’investigation

Valeur par défaut : Basic hunting capabilities État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S10.1.5 — Intégration avec Microsoft Sentinel

Niveau : 🟡 Référence CIS : CIS Defender 10.5 MITRE ATT&CK : N/A

Description : Intègre MDE avec Microsoft Sentinel pour une analyse SIEM centralisée et une corrélation de sécurité avancée.

Vérification :

Microsoft Sentinel: Data connectors > Microsoft 365 Defender
Flux de données MDE vers Sentinel

Remédiation :

Configurer connecteur MDE dans Sentinel
Créer règles de corrélation personnalisées
Dashboards unifiés de sécurité

Valeur par défaut : No SIEM integration État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S10.2.1 — Gestion des indicateurs de compromission (IOCs)

Niveau : 🟠 Référence CIS : CIS Defender 10.6 MITRE ATT&CK : T1562.001

Description : Configure la gestion centralisée des IOCs pour bloquer automatiquement les indicateurs de menaces connus.

Vérification :

M365 Defender Portal: Settings > Endpoints > Indicators
Liste des IOCs actifs et leurs actions

Remédiation :

Importer feeds de threat intelligence
Créer IOCs personnalisés basés sur incidents
Configurer actions automatiques (Alert, Block, etc.)

Valeur par défaut : No custom IOCs État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S10.2.2 — Configuration des groupes d’appareils

Niveau : 🟡 Référence CIS : CIS Defender 10.7 MITRE ATT&CK : N/A

Description : Organise les endpoints en groupes logiques pour appliquer des politiques de sécurité différenciées.

Vérification :

M365 Defender Portal: Settings > Endpoints > Device groups
Attribution des devices aux groupes appropriés

Remédiation :

Créer groupes par criticité (Critical, Standard, Dev)
Définir politiques spécifiques par groupe
Attribution automatique basée sur tags

Valeur par défaut : Single default group État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S10.2.3 — Configuration des notifications et alertes

Niveau : 🟠 Référence CIS : CIS Defender 10.8 MITRE ATT&CK : N/A

Description : Configure les notifications personnalisées pour les incidents critiques et les détections importantes.

Vérification :

M365 Defender Portal: Settings > Endpoints > Email notifications
Règles de notification configurées

Remédiation :

Configurer notifications email par criticité
Intégration avec outils de ticketing (ServiceNow, etc.)
Escalade automatique pour incidents critiques

Valeur par défaut : Basic email notifications État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S10.2.4 — Configuration du live response

Niveau : 🟠 Référence CIS : CIS Defender 10.9 MITRE ATT&CK : T1105

Description : Active et configure les capacités de réponse en temps réel pour investigation et remédiation à distance.

Vérification :

M365 Defender Portal: Settings > Endpoints > Advanced features > Live response
Permissions et accès live response

Remédiation :

Activer live response avec restrictions appropriées
Définir utilisateurs autorisés
Procédures d’utilisation documentées

Valeur par défaut : Disabled État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S10.2.5 — Configuration de l’analyse comportementale

Niveau : 🟠 Référence CIS : CIS Defender 10.10 MITRE ATT&CK : T1055

Description : Configure l’analyse comportementale avancée pour détecter les techniques d’évasion et les attaques sophistiquées.

Vérification :

MDE behavioral analysis settings
Cloud-powered protection activation

Remédiation :

Maintenir protection cloud activée
Configurer seuils de détection appropriés
Surveillance des faux positifs

Valeur par défaut : Standard behavioral analysis État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S10.3.1 — Threat and Vulnerability Management (TVM)

Niveau : 🟠 Référence CIS : CIS Defender 10.11 MITRE ATT&CK : T1190

Description : Active et configure TVM pour identifier et prioriser les vulnérabilités selon le risque réel d’exploitation.

Vérification :

M365 Defender Portal: Vulnerability management > Dashboard
Inventaire des vulnérabilités et recommandations

Remédiation :

Activer toutes les fonctionnalités TVM
Intégrer avec processus de patch management
Priorisation basée sur exploitabilité

Valeur par défaut : Basic vulnerability detection État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S10.3.2 — Microsoft Secure Score intégration

Niveau : 🟡 Référence CIS : CIS Defender 10.12 MITRE ATT&CK : N/A

Description : Utilise Microsoft Secure Score pour mesurer et améliorer continuellement la posture de sécurité.

Vérification :

M365 Defender Portal: Secure Score dashboard
Progression et actions recommandées

Remédiation :

Révision mensuelle du Secure Score
Priorisation des améliorations high-impact
Suivi des métriques de progression

Valeur par défaut : Default scoring État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S10.3.3 — Configuration des simulations d’attaque

Niveau : 🟡 Référence CIS : CIS Defender 10.13 MITRE ATT&CK : T1204

Description : Configure et utilise les simulations d’attaque intégrées pour tester les défenses et former les utilisateurs.

Vérification :

M365 Defender Portal: Evaluation and tutorials
Attack simulation training results

Remédiation :

Programmer simulations régulières
Analyser résultats et améliorer formations
Mesurer amélioration awareness utilisateurs

Valeur par défaut : No regular simulations État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S10.3.4 — Intégration avec Microsoft 365 Defender

Niveau : 🟠 Référence CIS : CIS Defender 10.14 MITRE ATT&CK : N/A

Description : Intègre pleinement MDE avec l’écosystème M365 Defender pour une protection coordonnée cross-platform.

Vérification :

M365 Defender Portal: Unified incident management
Cross-service correlation et investigation

Remédiation :

Activer toutes les intégrations M365 Defender
Unified incident response workflows
Corrélation avec Defender for Office 365, Cloud Apps

Valeur par défaut : Basic integration État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S10.3.5 — Configuration du machine learning et IA

Niveau : 🟡 Référence CIS : CIS Defender 10.15 MITRE ATT&CK : N/A

Description : Optimise les capacités de machine learning et d’IA pour améliorer la précision de détection et réduire les faux positifs.

Vérification :

Cloud-powered protection status
ML-based detection effectiveness metrics

Remédiation :

Maintenir cloud connectivity pour ML updates
Feedback sur faux positifs pour améliorer ML
Surveillance performance des modèles IA

Valeur par défaut : Standard ML capabilities État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S10.4.1 — Collecte et analyse des données télémétrie

Niveau : 🟡 Référence CIS : CIS Defender 10.16 MITRE ATT&CK : N/A

Description : Configure la collecte optimale de télémétrie pour alimenter les analyses de sécurité sans impacter les performances.

Vérification :

Telemetry collection settings
Data retention policies

Remédiation :

Configurer niveau de télémétrie approprié
Balance entre détection et privacy
Rétention données selon réglementations

Valeur par défaut : Standard telemetry État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S10.4.2 — Configuration des playbooks de réponse

Niveau : 🟠 Référence CIS : CIS Defender 10.17 MITRE ATT&CK : N/A

Description : Développe et configure des playbooks de réponse automatisée pour les types d’incidents courants.

Vérification :

Automated investigation playbooks
Custom response actions

Remédiation :

Créer playbooks pour incidents fréquents
Tester et ajuster réponses automatiques
Escalade vers humains si nécessaire

Valeur par défaut : Basic automated responses État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S10.4.3 — Gestion des permissions et RBAC

Niveau : 🟠 Référence CIS : CIS Defender 10.18 MITRE ATT&CK : T1078

Description : Configure un contrôle d’accès basé sur les rôles (RBAC) strict pour limiter l’accès aux fonctions MDE sensibles.

Vérification :

M365 Defender Portal: Permissions & roles
Audit des accès et permissions accordées

Remédiation :

Implémenter principe de moindre privilège
Rôles personnalisés selon besoins métier
Révision régulière des permissions

Valeur par défaut : Basic role assignments État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S10.4.4 — Monitoring et métriques de performance MDE

Niveau : 🟡 Référence CIS : CIS Defender 10.19 MITRE ATT&CK : N/A

Description : Surveille les performances et l’efficacité de MDE avec des métriques et KPIs appropriés.

Vérification :

Device health et connectivity status
Performance impact metrics

Remédiation :

Dashboard de santé des endpoints MDE
Métriques MTTR (Mean Time To Response)
KPIs d’efficacité de détection

Valeur par défaut : Basic health monitoring État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S10.4.5 — Processus de mise à jour et maintenance MDE

Niveau : 🟠 Référence CIS : CIS Defender 10.20 MITRE ATT&CK : T1562.001

Description : Établit des processus de mise à jour et maintenance régulière pour maintenir l’efficacité de MDE.

Vérification :

Update compliance status
Feature rollout management

Remédiation :

Processus de validation des updates MDE
Ring deployment pour nouvelles fonctionnalités
Rollback procedures en cas de problème

Valeur par défaut : Automatic updates État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S10.5.1 — Formation et certification des équipes

Niveau : 🟡 Référence CIS : CIS Defender 10.21 MITRE ATT&CK : N/A

Description : Assure la formation continue des équipes de sécurité sur les capacités et l’utilisation optimale de MDE.

Vérification :

Training completion status
Certification levels des analystes

Remédiation :

Programme de formation MDE structuré
Certifications Microsoft Defender recommandées
Mise à jour compétences sur nouvelles fonctionnalités

Valeur par défaut : Basic product knowledge État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S10.5.2 — Documentation et procédures opérationnelles

Niveau : 🟡 Référence CIS : CIS Defender 10.22 MITRE ATT&CK : N/A

Description : Maintient une documentation complète des procédures d’utilisation et de maintenance de MDE.

Vérification :

Runbook completeness
Procedure documentation currency

Remédiation :

Runbooks détaillés pour toutes les opérations MDE
Procédures d’escalade documentées
Mise à jour régulière de la documentation

Valeur par défaut : Basic documentation État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S10.5.3 — Tests et validation des capacités MDE

Niveau : 🟡 Référence CIS : CIS Defender 10.23 MITRE ATT&CK : N/A

Description : Effectue des tests réguliers pour valider l’efficacité des détections et réponses MDE.

Vérification :

Purple team exercise results
Detection validation testing

Remédiation :

Tests mensuels de détection avec outils simulés
Purple team exercises trimestriels
Validation après chaque mise à jour majeure

Valeur par défaut : No systematic testing État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S10.5.4 — Intégration avec processus ITSM

Niveau : 🟡 Référence CIS : CIS Defender 10.24 MITRE ATT&CK : N/A

Description : Intègre les alertes et incidents MDE avec les processus ITSM existants pour une gestion unifiée.

Vérification :

ServiceNow/Remedy integration status
Ticket automation et workflow

Remédiation :

Connecteurs vers outils ITSM
Automatisation création tickets
Escalade basée sur criticité

Valeur par défaut : Manual ticket creation État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S10.5.5 — Métriques business et ROI de MDE

Niveau : 🟢 Référence CIS : CIS Defender 10.25 MITRE ATT&CK : N/A

Description : Mesure et reporte les métriques business et le retour sur investissement de MDE.

Vérification :

ROI calculation methodology
Business impact metrics

Remédiation :

Métriques de réduction des incidents
Calcul des coûts évités grâce à MDE
Rapports réguliers pour management

Valeur par défaut : No formal ROI measurement État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

SECTION S8 — ACCÈS CONTRÔLÉ AUX DOSSIERS

Objectif : Configurer la protection des dossiers critiques contre les modifications non autorisées et les ransomwares.

Contrôles : 15 | Criticité moyenne : 🔴 Critique

S8.1.1 — Activation de l’accès contrôlé aux dossiers

Niveau : 🔴 Référence CIS : CIS Defender 8.1 MITRE ATT&CK : T1486

Description : Active la protection des dossiers système et utilisateur contre les modifications par des applications non autorisées.

Vérification :

PowerShell: Get-MpPreference | Select-Object -Property EnableControlledFolderAccess
Registre: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\Controlled Folder Access\EnableControlledFolderAccess

Remédiation :

Set-MpPreference -EnableControlledFolderAccess Enabled
GPO: Windows Defender Exploit Guard > Controlled folder access > Configure Controlled folder access = Enabled
Intune: Endpoint Security > Attack Surface Reduction > Controlled folder access

Valeur par défaut : Disabled État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S8.1.2 — Configuration des dossiers protégés

Niveau : 🔴 Référence CIS : CIS Defender 8.2 MITRE ATT&CK : T1486

Description : Configure la liste des dossiers protégés incluant les répertoires système critiques et dossiers utilisateur importants.

Vérification :

PowerShell: Get-MpPreference | Select-Object -ExpandProperty ControlledFolderAccessProtectedFolders
Liste des dossiers actuellement protégés

Remédiation :

Add-MpPreference -ControlledFolderAccessProtectedFolders ‘C:\Users*\Documents’
Add-MpPreference -ControlledFolderAccessProtectedFolders ‘C:\Users*\Desktop’
Inclure dossiers métier critiques

Valeur par défaut : System default folders only État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S8.1.3 — Applications autorisées pour accès contrôlé

Niveau : 🟠 Référence CIS : CIS Defender 8.3 MITRE ATT&CK : T1486

Description : Maintient une liste d’applications autorisées à modifier les dossiers protégés avec validation de sécurité.

Vérification :

PowerShell: Get-MpPreference | Select-Object -ExpandProperty ControlledFolderAccessAllowedApplications
Audit des applications autorisées

Remédiation :

Add-MpPreference -ControlledFolderAccessAllowedApplications ‘C:\Program Files\TrustedApp\app.exe’
Validation signature numérique obligatoire
Documentation de chaque autorisation

Valeur par défaut : Windows built-in applications only État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S8.2.1 — Protection des dossiers de sauvegarde

Niveau : 🔴 Référence CIS : CIS Defender 8.4 MITRE ATT&CK : T1486

Description : Étend la protection aux dossiers de sauvegarde locaux pour prévenir le chiffrement par ransomware.

Vérification :

Protection des répertoires de sauvegarde configurée
Exclusions appropriées pour logiciels de sauvegarde légitimes

Remédiation :

Add-MpPreference -ControlledFolderAccessProtectedFolders ‘D:\Backups’
Autoriser uniquement logiciels de sauvegarde validés
Surveillance des accès aux dossiers de sauvegarde

Valeur par défaut : No backup folder protection État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S8.2.2 — Surveillance des tentatives d’accès bloquées

Niveau : 🟠 Référence CIS : CIS Defender 8.5 MITRE ATT&CK : T1486

Description : Surveille et analyse les tentatives d’accès bloquées pour détecter les activités malveillantes.

Vérification :

PowerShell: Get-WinEvent -FilterHashtable @{LogName=‘Microsoft-Windows-Windows Defender/Operational’; ID=1123}
Event ID 1123 pour blocked access attempts

Remédiation :

Configurer alertes sur tentatives d’accès bloquées
Corrélation avec autres événements de sécurité
Investigation des applications légitimes bloquées

Valeur par défaut : Basic event logging État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

SECTION S9 — PROTECTION CONTRE L’EXPLOITATION

Objectif : Configurer les protections anti-exploitation pour prévenir l’exploitation des vulnérabilités système et applicatives.

Contrôles : 20 | Criticité moyenne : 🔴 Critique

S9.1.1 — Activation de l’ASLR système

Niveau : 🔴 Référence CIS : CIS Defender 9.1 MITRE ATT&CK : T1055

Description : Active l’Address Space Layout Randomization (ASLR) au niveau système pour compliquer les attaques d’exploitation mémoire.

Vérification :

PowerShell: Get-ProcessMitigation -System | Select-Object -Property ASLR
Registre: HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\MoveImages

Remédiation :

Set-ProcessMitigation -System -Enable ForceRelocateImages
GPO: System Settings > Optional subsystems > Set to 1
bcdedit /set nx OptIn

Valeur par défaut : Enabled on modern systems État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S9.1.2 — Configuration du DEP (Data Execution Prevention)

Niveau : 🔴 Référence CIS : CIS Defender 9.2 MITRE ATT&CK : T1055

Description : Configure la prévention d’exécution des données (DEP) pour bloquer l’exécution de code dans les zones de données.

Vérification :

PowerShell: Get-ProcessMitigation -System | Select-Object -Property DEP
bcdedit /enum | findstr nx

Remédiation :

Set-ProcessMitigation -System -Enable DEP
bcdedit /set {current} nx AlwaysOn
Redémarrage requis pour application

Valeur par défaut : OptIn on modern systems État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S9.1.3 — Protection SEHOP (Structured Exception Handler Overwrite Protection)

Niveau : 🟠 Référence CIS : CIS Defender 9.3 MITRE ATT&CK : T1055

Description : Active SEHOP pour protéger contre l’exploitation des gestionnaires d’exception structurés.

Vérification :

PowerShell: Get-ProcessMitigation -System | Select-Object -Property SEHOP
Registre: HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\kernel\DisableExceptionChainValidation

Remédiation :

Set-ProcessMitigation -System -Enable SEHOP
Registre: DisableExceptionChainValidation = 0
Test de compatibilité avec applications legacy

Valeur par défaut : Enabled on Windows 8+ État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S9.2.1 — Mitigations par application

Niveau : 🟠 Référence CIS : CIS Defender 9.4 MITRE ATT&CK : T1055

Description : Configure des protections d’exploitation spécifiques par application pour les logiciels à haut risque.

Vérification :

PowerShell: Get-ProcessMitigation -Name ‘chrome.exe’,‘firefox.exe’,‘winword.exe’
Configuration des mitigations par process

Remédiation :

Set-ProcessMitigation -Name ‘chrome.exe’ -Enable DEP,ASLR,SEHOP
Configuration via GPO Exploit Protection
Tests de compatibilité nécessaires

Valeur par défaut : System defaults only État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S9.2.2 — Protection Control Flow Guard (CFG)

Niveau : 🟠 Référence CIS : CIS Defender 9.5 MITRE ATT&CK : T1055

Description : Active Control Flow Guard pour protéger contre les attaques de type ROP/JOP (Return/Jump Oriented Programming).

Vérification :

PowerShell: Get-ProcessMitigation -System | Select-Object -Property CFG
Applications compilées avec support CFG

Remédiation :

Set-ProcessMitigation -System -Enable CFG
Vérifier support CFG dans applications critiques
Mise à jour applications si nécessaire

Valeur par défaut : Application dependent État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

SECTION S11 — PROTECTION CONTRE LA FALSIFICATION (TAMPER PROTECTION)

Objectif : Protéger Microsoft Defender contre la désactivation et modification malveillante par des attaquants.

Contrôles : 10 | Criticité moyenne : 🔴 Critique

S11.1.1 — Activation de la protection contre la falsification

Niveau : �� Référence CIS : CIS Defender 11.1 MITRE ATT&CK : T1562.001

Description : Active Tamper Protection pour empêcher la désactivation malveillante de Microsoft Defender et ses composants.

Vérification :

Microsoft 365 Security Center: Device security > Tamper protection
PowerShell: Vérification via cloud management uniquement

Remédiation :

Activer via Microsoft 365 Security Center
Déploiement requis de Microsoft Defender for Endpoint
Gestion centralisée cloud obligatoire

Valeur par défaut : Disabled (requires MDE) État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S11.1.2 — Protection des services Windows Defender

Niveau : 🔴 Référence CIS : CIS Defender 11.2 MITRE ATT&CK : T1562.001

Description : Protège les services critiques de Windows Defender contre l’arrêt et la modification non autorisés.

Vérification :

PowerShell: Get-Service WinDefend,WdNisSvc,Sense | Select-Object Name,Status,StartType
Protection des services par Tamper Protection

Remédiation :

Tamper Protection protège automatiquement les services
Surveillance des tentatives d’arrêt de services
Alertes sur modifications de configuration service

Valeur par défaut : Protected when Tamper Protection enabled État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S11.1.3 — Protection des clés de registre Defender

Niveau : 🔴 Référence CIS : CIS Defender 11.3 MITRE ATT&CK : T1562.001

Description : Protège les clés de registre critiques de Microsoft Defender contre les modifications malveillantes.

Vérification :

Registre: Protection des clés HKLM\SOFTWARE\Microsoft\Windows Defender
Tamper Protection impact sur modifications registre

Remédiation :

Protection automatique via Tamper Protection
Monitoring des tentatives de modification registre
Gestion centralisée des changements de configuration

Valeur par défaut : Protected when Tamper Protection enabled État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S11.2.1 — Gestion centralisée de Tamper Protection

Niveau : 🟠 Référence CIS : CIS Defender 11.4 MITRE ATT&CK : T1562.001

Description : Assure la gestion centralisée de Tamper Protection via Microsoft 365 Security Center avec traçabilité.

Vérification :

M365 Security Center: Centralized tamper protection management
Audit trail des changements de configuration

Remédiation :

Configuration exclusivement via cloud management
Traçabilité de tous les changements
Approbation pour désactivation temporaire

Valeur par défaut : Cloud-managed when enabled État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

SECTION S12 — INTÉGRATION INTUNE/MEM

Objectif : Optimiser l’intégration avec Microsoft Intune/MEM pour une gestion centralisée et cohérente de Defender.

Contrôles : 15 | Criticité moyenne : 🟠 Élevé

S12.1.1 — Déploiement des politiques Defender via Intune

Niveau : 🔴 Référence CIS : CIS Defender 12.1 MITRE ATT&CK : N/A

Description : Configure et déploie les politiques Microsoft Defender via Intune pour une gestion centralisée et cohérente.

Vérification :

Intune Admin Center: Endpoint security > Antivirus policies
Device compliance et policy deployment status

Remédiation :

Créer profils de configuration Defender dans Intune
Déploiement par groupes d’appareils
Monitoring du compliance status

Valeur par défaut : No centralized policy management État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S12.1.2 — Configuration des règles de conformité

Niveau : 🟠 Référence CIS : CIS Defender 12.2 MITRE ATT&CK : T1562.001

Description : Établit des règles de conformité Intune pour assurer que tous les appareils respectent les standards de sécurité Defender.

Vérification :

Intune: Device compliance policies
Compliance reporting et non-compliant devices

Remédiation :

Créer règles de conformité pour Defender activation
Actions automatiques pour non-compliance
Reporting régulier de conformité

Valeur par défaut : No compliance rules État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S12.1.3 — Accès conditionnel basé sur la sécurité Defender

Niveau : 🟠 Référence CIS : CIS Defender 12.3 MITRE ATT&CK : T1078

Description : Configure l’accès conditionnel Azure AD basé sur l’état de sécurité et conformité Defender des appareils.

Vérification :

Azure AD: Conditional Access policies
Device risk et compliance integration

Remédiation :

Politiques d’accès conditionnel basées sur device compliance
Blocage des appareils non conformes Defender
Intégration avec Microsoft Defender for Endpoint risk assessment

Valeur par défaut : No conditional access based on Defender État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S12.2.1 — Automatisation des déploiements Defender

Niveau : 🟡 Référence CIS : CIS Defender 12.4 MITRE ATT&CK : N/A

Description : Automatise le déploiement et la configuration de Microsoft Defender sur les nouveaux appareils via Intune Autopilot.

Vérification :

Intune: Autopilot deployment profiles
Automatic Defender configuration during device enrollment

Remédiation :

Intégrer Defender dans profils Autopilot
Configuration automatique des paramètres de sécurité
Validation post-déploiement automatisée

Valeur par défaut : Manual Defender configuration État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S12.2.2 — Rapports et dashboards Intune-Defender

Niveau : 🟡 Référence CIS : CIS Defender 12.5 MITRE ATT&CK : N/A

Description : Configure des rapports et dashboards unifiés pour surveiller l’état Defender via Intune.

Vérification :

Intune: Reports > Endpoint security
Defender health status across managed devices

Remédiation :

Configurer rapports automatisés Defender
Dashboards executifs de sécurité
Alertes proactives sur problèmes de configuration

Valeur par défaut : Basic reporting only État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

SECTION S13 — QUARANTAINE ET RÉPONSE

Objectif : Configurer la gestion de la quarantaine et les procédures de réponse automatique aux menaces détectées.

Contrôles : 10 | Criticité moyenne : 🟠 Élevé

S13.1.1 — Configuration de la quarantaine automatique

Niveau : 🔴 Référence CIS : CIS Defender 13.1 MITRE ATT&CK : T1562.001

Description : Configure la quarantaine automatique des fichiers malveillants détectés selon le niveau de menace.

Vérification :

PowerShell: Get-MpPreference | Select-Object -Property DefaultAction
Actions automatiques par niveau de menace configurées

Remédiation :

Set-MpPreference -LowThreatDefaultAction Quarantine
Set-MpPreference -ModerateThreatDefaultAction Quarantine
Set-MpPreference -HighThreatDefaultAction Quarantine

Valeur par défaut : Quarantine for most threats État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S13.1.2 — Gestion des faux positifs en quarantaine

Niveau : 🟠 Référence CIS : CIS Defender 13.2 MITRE ATT&CK : N/A

Description : Établit des procédures de gestion des faux positifs avec restauration sécurisée depuis la quarantaine.

Vérification :

Processus documenté de gestion des faux positifs
PowerShell: Get-MpThreatDetection pour révision

Remédiation :

Procédure de validation avant restauration
Soumission à Microsoft Security Intelligence
Mise à jour des exclusions si approprié

Valeur par défaut : Manual review required État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

SECTION S14 — GESTION DES INDICATEURS DE COMPROMISSION (IOC)

Objectif : Configurer la gestion centralisée des IOCs pour améliorer la détection et le blocage des menaces connues.

Contrôles : 10 | Criticité moyenne : 🟠 Élevé

S14.1.1 — Intégration des feeds de threat intelligence

Niveau : 🟠 Référence CIS : CIS Defender 14.1 MITRE ATT&CK : T1071

Description : Intègre des feeds de threat intelligence externes pour enrichir la détection avec des IOCs actualisés.

Vérification :

M365 Defender: Settings > Endpoints > Indicators
Feeds de threat intelligence configurés et actifs

Remédiation :

Configurer feeds de threat intelligence réputés
Automatisation de l’import d’IOCs
Validation et scoring des IOCs

Valeur par défaut : Microsoft intelligence only État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S14.1.2 — Création d’IOCs personnalisés

Niveau : 🟡 Référence CIS : CIS Defender 14.2 MITRE ATT&CK : T1071

Description : Développe des IOCs personnalisés basés sur les incidents locaux et l’intelligence de menaces spécifique.

Vérification :

Processus de création d’IOCs personnalisés
Validation et tests des IOCs créés

Remédiation :

Processus formalisé de création d’IOCs
Validation technique des IOCs
Cycle de vie et expiration des IOCs

Valeur par défaut : No custom IOCs État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

SECTION S15 — REPORTING ET DASHBOARDS

Objectif : Établir un reporting complet et des dashboards de supervision pour le monitoring continu de Microsoft Defender.

Contrôles : 10 | Criticité moyenne : 🟡 Moyen

S15.1.1 — Dashboards de supervision opérationnelle

Niveau : 🟠 Référence CIS : CIS Defender 15.1 MITRE ATT&CK : N/A

Description : Configure des dashboards temps réel pour la supervision opérationnelle de l’état et des performances Defender.

Vérification :

Dashboards configurés et accessibles aux équipes
Métriques clés de santé système affichées

Remédiation :

Power BI ou outils de reporting configurés
KPIs de santé Defender en temps réel
Alertes sur dégradation de service

Valeur par défaut : Basic Windows Security interface État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S15.1.2 — Rapports exécutifs mensuels

Niveau : 🟡 Référence CIS : CIS Defender 15.2 MITRE ATT&CK : N/A

Description : Génère des rapports exécutifs mensuels synthétisant l’efficacité et les incidents de sécurité Defender.

Vérification :

Template de rapport exécutif établi
Automatisation de la génération mensuelle

Remédiation :

Template standardisé de rapport mensuel
Automatisation via Power Automate ou scripts
Distribution automatique aux stakeholders

Valeur par défaut : No executive reporting État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

SECTION S16 — SCÉNARIOS SERVEURS

Objectif : Adapter la configuration Microsoft Defender pour les environnements serveurs avec leurs contraintes spécifiques.

Contrôles : 10 | Criticité moyenne : 🟠 Élevé

S16.1.1 — Optimisation Defender pour serveurs

Niveau : 🟠 Référence CIS : CIS Defender 16.1 MITRE ATT&CK : N/A

Description : Optimise la configuration Defender pour les serveurs en équilibrant sécurité et performance critique.

Vérification :

Configuration spécifique serveurs documentée
Tests de performance avec Defender activé

Remédiation :

Profils de configuration spécifiques serveurs
Exclusions optimisées pour workloads serveurs
Planification analyses pendant fenêtres maintenance

Valeur par défaut : Desktop configuration État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S16.1.2 — Defender pour serveurs critiques

Niveau : 🔴 Référence CIS : CIS Defender 16.2 MITRE ATT&CK : T1562.001

Description : Configure une protection renforcée pour les serveurs critiques avec surveillance 24/7.

Vérification :

Serveurs critiques identifiés et protégés
Monitoring et alerting renforcés configurés

Remédiation :

Classification des serveurs par criticité
Protection renforcée pour Tier 0/1
Surveillance continue et alerting immédiat

Valeur par défaut : Standard server protection État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

SECTION S17 — RÉPONSE AUX INCIDENTS

Objectif : Établir des procédures de réponse aux incidents intégrant les capacités Microsoft Defender.

Contrôles : 10 | Criticité moyenne : 🔴 Critique

S17.1.1 — Playbooks de réponse automatisée

Niveau : 🔴 Référence CIS : CIS Defender 17.1 MITRE ATT&CK : N/A

Description : Développe des playbooks de réponse automatisée utilisant les capacités Defender for Endpoint et AIR.

Vérification :

Playbooks documentés et testés
Intégration avec systèmes de ticketing

Remédiation :

Playbooks pour incidents types (malware, ransomware, etc.)
Automatisation via Microsoft Power Automate
Escalade automatique selon criticité

Valeur par défaut : Manual incident response État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S17.1.2 — Collecte forensique avec Live Response

Niveau : 🟠 Référence CIS : CIS Defender 17.2 MITRE ATT&CK : T1005

Description : Utilise les capacités Live Response de MDE pour la collecte forensique rapide lors d’incidents.

Vérification :

Procédures Live Response documentées
Formation équipes sur outils forensiques MDE

Remédiation :

Scripts Live Response standardisés
Formation équipes investigation
Procédures de préservation des preuves

Valeur par défaut : No standardized forensic procedures État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

SECTION S18 — GOUVERNANCE ET CONFORMITÉ

Objectif : Établir la gouvernance et assurer la conformité réglementaire de l’implémentation Microsoft Defender.

Contrôles : 10 | Criticité moyenne : �� Moyen

S18.1.1 — Politiques de gouvernance Defender

Niveau : 🟠 Référence CIS : CIS Defender 18.1 MITRE ATT&CK : N/A

Description : Établit des politiques de gouvernance formelles pour la gestion et l’évolution de Microsoft Defender.

Vérification :

Politiques de gouvernance documentées et approuvées
Comité de gouvernance sécurité établi

Remédiation :

Charte de gouvernance sécurité
Processus de prise de décision documenté
Révisions périodiques des politiques

Valeur par défaut : No formal governance État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

S18.1.2 — Conformité réglementaire (RGPD, SOX, etc.)

Niveau : 🟡 Référence CIS : CIS Defender 18.2 MITRE ATT&CK : N/A

Description : Assure la conformité de l’implémentation Defender avec les réglementations applicables.

Vérification :

Mapping conformité réglementaire documenté
Audits de conformité réguliers

Remédiation :

Analyse des exigences réglementaires
Configuration selon requirements compliance
Documentation pour audits externes

Valeur par défaut : Basic compliance considerations État : ☐ ✅ ☐ ❌ ☐ ⚠️ ☐ N/A Commentaires : _________________________________

RÉCAPITULATIF DE L’ÉVALUATION

STATISTIQUES GLOBALES

Métrique	Valeur	Cible	Statut
Contrôles évalués	___/280	280	☐ ✅ ☐ ⚠️
Contrôles conformes	___/280	>90%	☐ ✅ ☐ ⚠️
Criticité 🔴 Critique	_/	100%	☐ ✅ ☐ ⚠️
Criticité 🟠 Élevé	_/	>95%	☐ ✅ ☐ ⚠️
Criticité 🟡 Moyen	_/	>85%	☐ ✅ ☐ ⚠️
Criticité 🟢 Faible	_/	>75%	☐ ✅ ☐ ⚠️

SCORE DE MATURITÉ DEFENDER

Calcul : (Contrôles Conformes × Pond. Criticité) / Total Possible

Score global : ___/100

Niveau de maturité	Score	Description
🟢 Optimisé	90-100	Configuration exemplaire, leadership industrie
🟡 Géré	75-89	Bonne configuration, améliorations mineures
🟠 Défini	60-74	Configuration de base, lacunes significatives
🔴 Basique	<60	Configuration insuffisante, risques élevés

Niveau atteint : ________________

RÉSUMÉ EXÉCUTIF

FORCES IDENTIFIÉES

VULNÉRABILITÉS CRITIQUES

RECOMMANDATIONS PRIORITAIRES

PHASE 1 - CRITIQUE (0-30 jours)

Activation protection temps réel complète
- Contrôles S1.1.1 à S1.1.5
- Impact: 🔴 Critique
- Effort: Faible
Déploiement règles ASR essentielles
- Contrôles S6.1.1 à S6.1.5 (Office protection)
- Impact: 🔴 Critique
- Effort: Moyen
Configuration protection cloud MAPS
- Contrôles S2.1.1 à S2.1.5
- Impact: 🔴 Critique
- Effort: Faible

PHASE 2 - ÉLEVÉ (30-90 jours)

Optimisation exclusions et gouvernance
- Section S5 complète
- Impact: 🟠 Élevé
- Effort: Élevé
Déploiement Defender for Endpoint
- Section S10 complète si budget disponible
- Impact: 🔴 Critique
- Effort: Élevé
Protection réseau avancée
- Section S7 complète
- Impact: 🟠 Élevé
- Effort: Moyen

PHASE 3 - OPTIMISATION (90+ jours)

Intégration SIEM et automatisation
- Reporting et dashboards (S15)
- Impact: 🟡 Moyen
- Effort: Élevé
Gouvernance et conformité
- Section S18 complète
- Impact: 🟡 Moyen
- Effort: Moyen

MAPPING MULTI-FRAMEWORKS

CORRESPONDANCES CIS CONTROLS V8

CIS Control	Sections ANC	Criticité
CIS 1 - Inventory	S10.2.2, S12.1.1	🟠
CIS 3 - Data Protection	S8.1.1, S8.2.1	🔴
CIS 6 - Access Control	S11.1.1, S12.1.3	🔴
CIS 8 - Audit Logs	S1.4.5, S15.1.1	🟠
CIS 10 - Malware Defense	S1-S6 (toutes)	🔴
CIS 11 - Data Recovery	S8.2.1	🟠
CIS 16 - App Security	S6 (ASR), S9	🔴

CORRESPONDANCES NIST CYBERSECURITY FRAMEWORK

NIST Function	Sections ANC	Couverture
IDENTIFY (ID)	S10.3.1 (TVM), S15	🟡 Partielle
PROTECT (PR)	S1-S12 (toutes)	🟢 Complète
DETECT (DE)	S1, S6, S7, S10	🟢 Complète
RESPOND (RS)	S10.1.3, S17	🟠 Bonne
RECOVER (RC)	S13, S17.1.2	🟡 Partielle

CORRESPONDANCES MITRE ATT&CK

Techniques couvertes par ce checklist : 45+ techniques

Tactiques principales adressées :

Initial Access: T1566 (Phishing) - Sections S2, S6, S7
Execution: T1059 (Scripts) - Section S6
Defense Evasion: T1562 (Disable Security) - Sections S1, S11
Impact: T1486 (Ransomware) - Sections S6, S8

PLAN DE REMÉDIATION

MODÈLE DE GOUVERNANCE

BUDGET ESTIMATIF

Élément	Coût estimé	Commentaire
Microsoft Defender for Endpoint	€X/user/mois	Si non disponible
Formation équipes	€X	2-3 jours par personne
Outils complémentaires	€X	SIEM, dashboards, etc.
Consulting externe	€X	Si expertise manquante
TOTAL Phase 1	€X
TOTAL Projet	€X

ANNEXES

RESSOURCES ET RÉFÉRENCES

DOCUMENTATION MICROSOFT OFFICIELLE

STANDARDS DE SÉCURITÉ

CIS Microsoft Windows Defender Antivirus Benchmark v1.0.0
NIST Cybersecurity Framework v1.1
MITRE ATT&CK Framework
ISO 27001:2013 Annex A.12 (Operations Security)

OUTILS D’ÉVALUATION RECOMMANDÉS

Microsoft Security Compliance Toolkit (SCT)
Microsoft Defender for Endpoint Evaluation Lab
CIS-CAT Pro Assessor

CONTACTS AYI NEDJIMI CONSULTANTS

Support technique : [email protected]
Hotline sécurité : +33 X XX XX XX XX
Site web : www.ayinedjimi-consultants.fr

Ce document est confidentiel et propriétaire. Toute reproduction ou distribution non autorisée est strictement interdite.

Version : 1.0
Date : 04 avril 2026
Pages : ~280 contrôles répartis sur ~8000 lignes
Classification : CONFIDENTIEL

FIN DU CHECKLIST

Checklist Sécurité ANC

Microsoft Defender

223 contrôles · 17 sections

v1.0 · Mars 2026

Sections17

Contrôles223

Version1.0

RévisionMars 2026

FormatsPDF · Excel · Web

📄 Télécharger PDF 📊 Télécharger Excel

📝 Description

🎯 Pour qui ?

Cette checklist s'adresse aux RSSI, administrateurs systèmes, auditeurs de sécurité et consultants souhaitant évaluer ou durcir un environnement Microsoft Defender. Chaque contrôle inclut les commandes de vérification et les seuils critiques.

Checklists associées

Besoin d'un audit basé sur cette checklist ?

Nos experts réalisent l'audit complet de votre environnement Microsoft Defender et livrent un rapport détaillé avec plan de remédiation.