Scan de conformité
Posture de sécurité Okta — 8 contrôles, score 0-100 et niveaux.
Le scan de conformité évalue la posture de sécurité d'un tenant Okta à partir
d'une sauvegarde (sans appel API supplémentaire). Il produit un score de 0 à
100 et un niveau de risque, selon le référentiel okta-baseline.
La conformité nécessite un plan Pro. Un scan est lancé automatiquement après chaque sauvegarde réussie ; vous pouvez aussi le relancer à la demande (operator/admin).
Les 8 contrôles
| Contrôle | Sévérité | Échoue si… |
|---|---|---|
| MFA non requise | Haute | Aucune politique d'enrôlement MFA active. |
| Politique de mot de passe faible | Haute | Longueur min < 12, ou pas de chiffre, ou pas de symbole requis. |
| Comptes actifs dormants | Moyenne | Des utilisateurs actifs sans connexion depuis 90 jours. |
| Comptes déprovisionnés encore assignés | Moyenne | Des utilisateurs SUSPENDED/DEPROVISIONED restent affectés à des apps. |
| Authenticators faibles | Moyenne | Présence de facteurs hameçonnables (SMS, e-mail, téléphone) ou absence de facteur fort (WebAuthn, FIDO2, Okta Verify). |
| Zone réseau trop large | Moyenne | Une zone non-système autorise 0.0.0.0/0 (ou ::/0). |
| Pas d'accès conditionnel | Moyenne | Aucune politique d'accès conditionnel active. |
| Applications en self-service | Basse | Des applications actives sont en libre-service. |
Calcul du score
On part de 100 et on retire des pénalités par contrôle en échec :
| Sévérité | Pénalité |
|---|---|
| Critique | −30 |
| Haute | −20 |
| Moyenne | −10 |
| Basse | −5 |
Le score est borné à [0, 100].
Niveaux
| Niveau | Score |
|---|---|
| Bon | ≥ 80 |
| Avertissement | 50 – 79 |
| Critique | < 50 |
Honnêteté des données : si une ressource nécessaire est absente du snapshot (non capturée, fichier trop volumineux…), le contrôle est marqué « données insuffisantes » et ne pénalise pas le score — plutôt qu'un faux négatif.
Restitution
Pour chaque contrôle en échec, Revault affiche le nombre d'éléments concernés et jusqu'à 5 exemples, accompagnés d'une indication de correction. L'historique des scores (tendance) est conservé par tenant.
Alerte automatique
Si le score d'un tenant tombe sous 50 à l'issue d'une sauvegarde, une notification d'avertissement est créée (dédupliquée 24 h). Voir Notifications.