Modules

Golden Master Policies

Golden Master Policies aide le MSP à formaliser, déployer et surveiller des standards de sécurité multi-clients.

Définition

Une Golden Master Policy représente un standard attendu : baseline Intune, exigence Defender, configuration Entra, posture Windows, règle de chiffrement, contrôle MFA, configuration navigateur, politique de conformité ou exigence custom.

Le but n’est pas seulement de stocker une checklist. Wadyu doit aider à comparer l’état attendu et l’état observé afin d’identifier la config drift, c’est-à-dire la dérive de configuration.

Cycle de vie

Créez une policy avec nom, description, plateforme, sévérité, owner, mode et périmètre. Assignez-la ensuite à un ou plusieurs clients. Surveillez les écarts, routez les alertes critiques et documentez la remédiation.

Le mode monitor est recommandé pour un premier déploiement. L’enforcement automatique doit rester une étape future ou contrôlée, car une politique appliquée trop vite peut bloquer des utilisateurs ou casser un environnement client.

Exemples de policies

MFA obligatoire pour administrateurs, BitLocker actif sur postes Windows, Defender Tamper Protection activée, appareils non conformes exclus de certaines ressources, mots de passe hérités désactivés, règles de mise à jour Windows, configuration Edge, chiffrement disque et blocage des macros non signées.

Valeur MSP

Le MSP peut prouver qu’il applique des standards homogènes sur plusieurs clients, identifier rapidement les clients qui dérivent et transformer la sécurité en service gouverné. C’est un support naturel pour les revues trimestrielles, SLA, audits et plans d’amélioration.

Alerting et remédiation

Une dérive critique doit pouvoir créer une alerte Teams, Slack, PSA ou ServiceNow. L’alerte doit contenir le client, la policy, la sévérité, le constat, l’impact et l’action attendue. Les tickets doivent éviter les secrets et les données personnelles inutiles.

Limites et prudence

Dans le MVP, le module structure les policies, les assignations et les constats. Toute application automatique de configuration Microsoft doit être introduite avec validation client, permissions minimales, journal d’audit et stratégie de retour arrière.

Vues et exploitation actuelles

Golden Master est séparé en Pilotage, Bibliothèque et Builder. Pilotage suit les assignations, résultats, warnings et recommandations. Bibliothèque recense les policies créées, leurs métadonnées, leur criticité et leur usage. Builder sert à créer ou éditer une policy, y compris une policy système fournie par défaut lorsque l’administrateur veut l’adapter à son standard MSP.

Une bonne GMP doit pouvoir être assignée, désassignée, supprimée si elle n’est plus pertinente, documentée et testée en mode monitor avant toute enforcement. Les exemples recommandés couvrent MFA administrateurs, BitLocker, Defender Tamper Protection, conformité Intune, blocage des macros non signées, Edge baseline et désactivation des méthodes héritées.