View
0
Download
0
Category
Preview:
Citation preview
Ma nouvelle offre de service O365 :
Quelle(s) stratégie(s) de sécurité pour répondre
aux menaces et enjeux réglementaires actuels ?
#experiences17
Maxime Rastello
Chief Technology Officer @ AZEO
Microsoft MVP Enterprise Mobility
Sylvain Castillon
Business Solution Manager @ Exakis
Microsoft experiences’17#experiences17MON OFFRE DE SERVICE O365 : QUELLES STRATEGIES DE SECURITE ?
experiences.microsoft.fr #experiences17
Microsoft experiences’17#experiences17MON OFFRE DE SERVICE O365 : QUELLES STRATEGIES DE SECURITE ?
RGPD/GDPR
Quelques mots clés sur les 6 derniers mois…
Microsoft experiences’17#experiences17MON OFFRE DE SERVICE O365 : QUELLES STRATEGIES DE SECURITE ?
Une plateforme SaaS complète
Qui comprend EM+S & W10
Microsoft experiences’17#experiences17MON OFFRE DE SERVICE O365 : QUELLES STRATEGIES DE SECURITE ?
Projet de migration clé de transition vers le Cloud
La sécurité, dans tout ça ?
Prise de conscience : nouveaux cas d’usages sécurité!
Microsoft experiences’17#experiences17MON OFFRE DE SERVICE O365 : QUELLES STRATEGIES DE SECURITE ?
Un trait d’union entre…
Principe : tour d’horizon
experiences.microsoft.fr #experiences17
Microsoft experiences’17#experiences17MON OFFRE DE SERVICE O365 : QUELLES STRATEGIES DE SECURITE ?
Points d’entrée sur Office 365
Beaucoup de clients ne s’intéressent à l’ensemble des services qu’après la migration
Microsoft experiences’17#experiences17MON OFFRE DE SERVICE O365 : QUELLES STRATEGIES DE SECURITE ?
Quelles sont les fonctionnalités de sécurité intégrées aux services Office 365 ?
Mon tenant est-il correctement configuré et sécurisé ?
Comment contrôler l’accès à mes services Office 365 ?
Microsoft experiences’17#experiences17MON OFFRE DE SERVICE O365 : QUELLES STRATEGIES DE SECURITE ?
Fonctionnement1. Analyse la sécurité de votre tenant
2. Analyse les activités de votre administrateurs
3. Dresse le bilan des bonnes pratiques Microsoft
4. Attribue un score final
Permet de réaliser un rapport d’étonnement sur la configuration et la sécurité de votre tenant O365 Fil conducteur pour l’établissement d’un plan d’action
Microsoft experiences’17#experiences17MON OFFRE DE SERVICE O365 : QUELLES STRATEGIES DE SECURITE ?
Que pouvez-vous faire dès à présent ?
Identifiez les données à caractère personnel
à votre disposition ainsi que leur emplacement
Gérez l’accès aux données à caractère
personnel et leur utilisation
Mettez en place des contrôles de sécurité pour
éviter, détecter et répondre aux vulnérabilités et aux
piratages de données
Mettez en place des demandes de données
et consignez la documentation requise
Analysez les données et les systèmes,
maintenez la conformité et réduisez les risques
1 2 3 4 5
Rechercher Contrôler Protéger Signaler Examiner
DémoSecure Score
experiences.microsoft.fr #experiences17
Microsoft experiences’17#experiences17MON OFFRE DE SERVICE O365 : QUELLES STRATEGIES DE SECURITE ?
Azure Active Directory Connect et Connect Health
*
MIM
* Microsoft AzureActive Directory
Application RH
Autres référentiels
PowerShell
SQL (ODBC)
LDAP v3
Web Services ( SOAP, JAVA, REST)
Application Web ou Native
(Application mobile, LOB App)Applications on-premise(Sharepoint)
Applications SaaS
(Box, Salesforce)
Windows ServerActive Directory
Microsoft experiences’17#experiences17MON OFFRE DE SERVICE O365 : QUELLES STRATEGIES DE SECURITE ?
Socle commun• Outillé et interopérable
• Pierre angulaire pour l’accès
• Collaboration vers l’externe
Contrôle d’accès• Intégration Azure MFA
• Accès conditionnels
Délégation & Self-Service
Rapports & Monitoring
Microsoft experiences’17#experiences17MON OFFRE DE SERVICE O365 : QUELLES STRATEGIES DE SECURITE ?
Déploiement, en 2 temps• Suggérée, 1er temps
• Effective ensuite
Cinématique, en 2 temps1. Identification : Email ou Tèl.
2. Mode d’authentification
ObjectifsRationnaliser l’expérience
Proposer de nouveaux modes d’auth.
Microsoft experiences’17#experiences17MON OFFRE DE SERVICE O365 : QUELLES STRATEGIES DE SECURITE ?
Microsoft experiences’17#experiences17MON OFFRE DE SERVICE O365 : QUELLES STRATEGIES DE SECURITE ?
Vol d’identité• Réduire ce risque
Expérience autour du téléphone• 2nd facteur
• Appel, SMS, expérience « APP »
Déclenchement conditionné
Microsoft experiences’17#experiences17MON OFFRE DE SERVICE O365 : QUELLES STRATEGIES DE SECURITE ?
Microsoft experiences’17#experiences17MON OFFRE DE SERVICE O365 : QUELLES STRATEGIES DE SECURITE ?
Microsoft experiences’17#experiences17MON OFFRE DE SERVICE O365 : QUELLES STRATEGIES DE SECURITE ?
Microsoft experiences’17#experiences17MON OFFRE DE SERVICE O365 : QUELLES STRATEGIES DE SECURITE ?
Microsoft experiences’17#experiences17MON OFFRE DE SERVICE O365 : QUELLES STRATEGIES DE SECURITE ?
Microsoft experiences’17#experiences17MON OFFRE DE SERVICE O365 : QUELLES STRATEGIES DE SECURITE ?
experiences.microsoft.fr #experiences17
Microsoft experiences’17#experiences17MON OFFRE DE SERVICE O365 : QUELLES STRATEGIES DE SECURITE ?
La gouvernance d’un tenant prend de multiples formes• Utilisation des services Office 365
Portail d’admin Office 365
• Gestion des accès et privilèges
RBAC Azure AD + Administrative Units
Azure AD Access Review
Azure AD Privileged Identity Management
Microsoft experiences’17#experiences17MON OFFRE DE SERVICE O365 : QUELLES STRATEGIES DE SECURITE ?
Helpdesk Administrator
Service Support Administrator
Billing Administrator
Directory Readers (legacy)
Exchange Service Administrator
Lync Service Administrator
User Account Administrator
Directory Writers (legacy)
SharePoint Service Administrator
Compliance Administrator
Directory Synchronization Accounts
Security Reader
Security Administrator
Privileged Role Administrator
Ne pas utiliser
PowerShell + nouveau portail
PowerShell ou appli dédiée
Microsoft experiences’17#experiences17MON OFFRE DE SERVICE O365 : QUELLES STRATEGIES DE SECURITE ?
Security Reader• Lecture des rapports Identity Protection• Lectures des rapports Privileged Identity
Management• Accès à Office 365 Service Health• Accès à Office 365 Security & Compliance
Center
Security Administrator• Mêmes droits que Security Reader• En plus : Administration de ces services
Company Administrator• Même chose que Global administrator• Seul habilité à attribuer d’autres permissions
admin
Service Support Administrator• Monitorer l’état du service Azure• Gérer les Service Requests
HelpDesk Administrator• Monitorer l’état du service Azure• Gérer les Service Requests• Réinitialiser les mots de passe
User Account Administrator• Monitorer l’état du service Azure• Gérer les Service Requests• Réinitialiser les mots de passe (limité à certains
rôles)• Administrer les utilisateurs / groupes
Cloud Application Administrator• Gérer les applications Saas et Web App Proxy
Conditional Access Administrator• Gérer les règles d’accès conditionnel
Microsoft experiences’17#experiences17MON OFFRE DE SERVICE O365 : QUELLES STRATEGIES DE SECURITE ?
Constat • Manque de granularité dans les droits d’administration
• Les droits dans l’ancien et le nouveau portail Azure sont différents
Besoins• Retranscrire la hiérarchie des permissions admin AD dans Azure
AD
• Limiter le champ d’actions des administrateurs
• Restriction des droits admin sur certains utilisateurs VIP
Microsoft experiences’17#experiences17MON OFFRE DE SERVICE O365 : QUELLES STRATEGIES DE SECURITE ?
Groupe RBAC : User Account AdministratorAzure AD Directory
US UA Admin
UK UA Admin
US Users
UK Users
FR UsersFR UA Admin
Microsoft experiences’17#experiences17MON OFFRE DE SERVICE O365 : QUELLES STRATEGIES DE SECURITE ?
Restrictions (Preview)• Scope sur les utilisateurs uniquement
• 2 rôles attribuables (User Account et HelpDesk Administrator)
• Administration uniquement en PowerShell
Annonce Ignite• Intégration dans le portail O365 (prochaines semaines)
Microsoft experiences’17#experiences17MON OFFRE DE SERVICE O365 : QUELLES STRATEGIES DE SECURITE ?
Microsoft experiences’17#experiences17MON OFFRE DE SERVICE O365 : QUELLES STRATEGIES DE SECURITE ?
Voir l’activités des rôles à privilèges• Définition de la période d’audit
• Définition de la cible à auditer• Membre d’un groupe
• Utilisateurs d’une app SaaS
Revue du rapport d’audit• Statuer pour chaque compte
• Action recommandée proposée
Microsoft experiences’17#experiences17MON OFFRE DE SERVICE O365 : QUELLES STRATEGIES DE SECURITE ?
Définir des administrateurs éligibles• Basé sur les rôles RBAC Azure AD
Assigner des permissions admintemporaires• De 30min à 72h max
Approbation possible par un admin
experiences.microsoft.fr #experiences17
Microsoft experiences’17#experiences17MON OFFRE DE SERVICE O365 : QUELLES STRATEGIES DE SECURITE ?
De plus en plus de périphériques…• PCs d’entreprise, PCs perso, Mac, tablettes…
• iPhone, Android et même… Windows Mobile ! (si si)
… qui consomment de plus en plus de services
Microsoft experiences’17#experiences17MON OFFRE DE SERVICE O365 : QUELLES STRATEGIES DE SECURITE ?
Comment contrôler l’accès aux services Office 365 quel que soit le canal utilisé ?
Comment assurer une expérience unifiée sur tous les périphériques ?
Accès conditionnel et Microsoft Intune
Microsoft experiences’17#experiences17MON OFFRE DE SERVICE O365 : QUELLES STRATEGIES DE SECURITE ?
Accès aux applications SaaS pour les appareils• Enrollés dans Intune et marqués comme « conformes »
• Joints à un domaine AD et enregistrés dans Azure AD
• Dotés d’un client applicatif approuvé
Systèmes supportés• Windows 7 (MSI + ADFS)
• Windows 8.1 / Windows 10 (Natif)
• iOS, Android, Windows Mobile
• macOS (new)
Clients : compatibles Authent’ Moderne
Navigateurs : IE11, Edge, Chrome (extension), Safari (new)
Microsoft experiences’17#experiences17MON OFFRE DE SERVICE O365 : QUELLES STRATEGIES DE SECURITE ?
Accès aux applications SaaS• Avec MFA obligatoire
• Avec MFA si en dehors de l’entreprise
• Blocage de l’accès si en dehors de l’entreprise
Définition de la localisation• Basée sur l’IP publique de l’utilisateur
Définition du périmètre de l’entreprise• Plages d’IP publiques
• Choix des pays
Clients : compatibles Authent’ Moderne
Navigateurs : Tous
Microsoft experiences’17#experiences17MON OFFRE DE SERVICE O365 : QUELLES STRATEGIES DE SECURITE ?
Accès aux applications SaaS pour les utilisateurs• Détectés comme « à risque » via Identity Protection
• 3 niveaux de risque : Low, Medium ou High
Clients : compatibles Authent’ Moderne
Navigateurs : Tous
Microsoft experiences’17#experiences17MON OFFRE DE SERVICE O365 : QUELLES STRATEGIES DE SECURITE ?
Accès conditionnel pour l’accès VPN
Accès conditionnel + Terms of Use
Autres contrôles au lieu du MFA
• RSA, Duo ou Trusona
Session Control
• SharePoint Online
• Cloud App Security (new)
DémoRisk-based conditional access
experiences.microsoft.fr #experiences17
Microsoft experiences’17#experiences17MON OFFRE DE SERVICE O365 : QUELLES STRATEGIES DE SECURITE ?
Des données de plus en plus volatiles…• Synchronisation des emails, contacts, fichiers…
• Multiplication des applications clientes mobiles
• Accès via un navigateur mobile
… qui peuvent être facilement perdues de vue• Upload sur des stockages en ligne (iCloud, Dropbox, OneDrive…)
• Envoi par email
• Copie sur clé USB, disque externe
Microsoft experiences’17#experiences17MON OFFRE DE SERVICE O365 : QUELLES STRATEGIES DE SECURITE ?
Comment sécuriser le stockage des données sur des périphériques mobiles ? Mobile Application Management (MAM)
Comment limiter l’accès aux documents sensibles ?
Comment auditer qui accède aux données à risque ? Azure Information Protection
Microsoft experiences’17#experiences17MON OFFRE DE SERVICE O365 : QUELLES STRATEGIES DE SECURITE ?
Stratégies Intune• Aucun besoin d’enroller le périphérique
• Elles s’appliquent uniquement surles données d’entreprise
Exemples de restriction• Demande de code PIN au démarrage
• Bloquer le copier / coller en dehors de l’app
• Forcer une version minimale de l’app mobile
• Chiffrer les données contenues dans l’app
Microsoft experiences’17#experiences17MON OFFRE DE SERVICE O365 : QUELLES STRATEGIES DE SECURITE ?
Protection des documents• A l’initiative de l’utilisateur (manuellement)
• Basée sur des critères préétablis (classification auto)
• Sur toute les plateformes (Windows, Mac, smartphones)
Suivi de l’accès aux documents• Voir qui a ouvert un document partagé
• Révoquer l’accès à un document sensible
Microsoft experiences’17#experiences17MON OFFRE DE SERVICE O365 : QUELLES STRATEGIES DE SECURITE ?
Accès conditionnel pour les fichiers protégés
Azure Information Protection Scanner
• Classification et protection des documents on-premises• Serveurs de fichiers
• Serveurs SharePoint
DémoAzure Information Protection
experiences.microsoft.fr #experiences17
Microsoft experiences’17#experiences17MON OFFRE DE SERVICE O365 : QUELLES STRATEGIES DE SECURITE ?
Dashboard dédié
Fonctions de Protection
Microsoft experiences’17#experiences17MON OFFRE DE SERVICE O365 : QUELLES STRATEGIES DE SECURITE ?
Début d’une attaque ?• « Phish & Click »
• Pour la majorité d’entre elles
Réduction du risque ?• Protéger la messagerie
• Exchange Online Protection
• Advanced Threat Protection
Microsoft experiences’17#experiences17MON OFFRE DE SERVICE O365 : QUELLES STRATEGIES DE SECURITE ?
Offre de base O365
Réduction du risque face au virus & malware• « Protéger contre ce que l’on connait »
• Moteur de protection virus & malware
• Gestion d’URLs (spam, phishing, spoofing)
Microsoft experiences’17#experiences17MON OFFRE DE SERVICE O365 : QUELLES STRATEGIES DE SECURITE ?
Solution complémentaire• « Evaluer ce que l’on ne connait pas »
Safe Attachments• Exécution et Analyse comportementale (ML)
• Environnement cloisonné (chambre détonation)
Safe Links• Réécriture d’URLs
Rapports• Enquêter sur les cas bloqués
Microsoft experiences’17#experiences17MON OFFRE DE SERVICE O365 : QUELLES STRATEGIES DE SECURITE ?
Sûr
Exchange Online Protection (EOP)• Filtres multiples • Trois moteurs anti-virus
Liens• Listes continuellement mises à
jour d'URL malveillantes
Destinataire
Réécriture de liens sûrsNon sûr
Pièce jointe• Type de fichier pris en
charge• Nettoyé par les filtres
AV/AS• Pas dans la liste de
réputation
Chambre de détonation(bac à sable)
analyse comportementale avec apprentissage automatique (machine learning)
Exécutable ?
Appel au registre ?
Élévation de droits ?
Expéditeur
Microsoft experiences’17#experiences17MON OFFRE DE SERVICE O365 : QUELLES STRATEGIES DE SECURITE ?
CASB or not CASB ?• Cloud Access Security Broker
• Analyser les usages Cloud
• Se positionner par rapport à ceux-ci (Shadow IT ?)
• Visibilité et alertes
• Agir automatiquement sur un périmètre intéropérable
2 produits : orienté O365 ou multi-Cloud• Cloud App Security (CAS)
• Advanced Security Management (ASM)
Microsoft experiences’17#experiences17MON OFFRE DE SERVICE O365 : QUELLES STRATEGIES DE SECURITE ?
ASM = CAS centré sur O365
Une solution multi-SaaS
• Découverte du Shadow IT au sens large (13.000+)
• Visibilité étendue, capacité de travail sur les données
et leur protection
• Investigation et prévention
Office 365 Advanced
Security Management
Plus de visibilité et de contrôle sur O365
• Découverte des App avec fonctionnalités analogues aux
services O365
• Gestion des permissions sur les App
• Alertes de sécurité avancée
Cloud App Security
Microsoft experiences’17#experiences17MON OFFRE DE SERVICE O365 : QUELLES STRATEGIES DE SECURITE ?
Microsoft experiences’17#experiences17MON OFFRE DE SERVICE O365 : QUELLES STRATEGIES DE SECURITE ?
Microsoft experiences’17#experiences17MON OFFRE DE SERVICE O365 : QUELLES STRATEGIES DE SECURITE ?
Microsoft experiences’17#experiences17MON OFFRE DE SERVICE O365 : QUELLES STRATEGIES DE SECURITE ?
Microsoft experiences’17#experiences17MON OFFRE DE SERVICE O365 : QUELLES STRATEGIES DE SECURITE ?
experiences.microsoft.fr #experiences17
Microsoft experiences’17#experiences17MON OFFRE DE SERVICE O365 : QUELLES STRATEGIES DE SECURITE ?
Microsoft experiences’17#experiences17MON OFFRE DE SERVICE O365 : QUELLES STRATEGIES DE SECURITE ?
Microsoft
Intelligent
Security
Graph
Taille
Industrie
Topographie
Configuration
Rôle
Actions
Recommandations personnalisées
Microsoft experiences’17#experiences17MON OFFRE DE SERVICE O365 : QUELLES STRATEGIES DE SECURITE ?
Gouvernance des données• Archivage, Rétention : Data Governance
• Classification, Auto. : Advanced Data Governance
Visibilité et investigation• « Content Search »
• eDiscovery/Advanced eDiscovery
Fuite d’information & Alertes• Data Leak Prevention (DLP)
• Plusieurs moteurs
Microsoft experiences’17#experiences17MON OFFRE DE SERVICE O365 : QUELLES STRATEGIES DE SECURITE ?
experiences.microsoft.fr #experiences17
Microsoft experiences’17#experiences17MON OFFRE DE SERVICE O365 : QUELLES STRATEGIES DE SECURITE ?
Quick Wins• Rapport d’étonnement & Sécurisation des Identités
Mise en place d’une stratégie de sécurité• Identification des usages!
• Intégration de terminaux, services et gestion de la donnée
Posture sécurité équilibrée• Protection, Détection/Réponse & Conformité
Microsoft experiences’17#experiences17MON OFFRE DE SERVICE O365 : QUELLES STRATEGIES DE SECURITE ?
Démarche analogue à une analyse de risques• Cartographie & Indicateurs
• Analyse d’écarts & Correction
• Itérations
Outillage• Cartographie & Suivi
• Combler les écarts : automatisation, audit, nouvelles briques, etc.
Microsoft experiences’17#experiences17MON OFFRE DE SERVICE O365 : QUELLES STRATEGIES DE SECURITE ?
DiscoverRight to Erasure
Right to Data Portability
ManageDocumentation
Privacy by Design
ProtectData Security
Data Transfer
ReportDocumentation
Breach Response and Notification
Security & Compliance CenterA one-stop portal for protecting your data in Office 365. Grant permissions to people who perform compliance tasks.
Data Loss PreventionUnified policies covering client end-points, empowering IT pros
Advanced Data Governance*Classify, preserve and/or purge data based on automatic analysis and policy recommendations
Azure Information ProtectionAutomatically Identify, Label and Protect sensitive data across you environment from unwarranted access or use. Alerts, analysis and remediation for content.
Azure Active Directory (Identity Protection and Privileged Identity Management inclusive)Identify Privileged and Non-Privileged users. Control access to resources, applications and data, in the cloud and on prem, with hybrid IAM. RBAC appropriate content to appropriate personnel. Revoke access instantly. Audit and report access to all
services.
Content searchrun very large searches across mailboxes, public folders, Office
365 Groups, Microsoft Teams, SharePoint Online sites, One
Drive for Business locations, and Skype for Business
conversations
Data Governancearchive and preserve content in Exchange Online mailboxes,
SharePoint Online sites, and OneDrive for Business locations,
and import data into your Office 365 organization.
Advanced Threat Protectionprovides security functions that protect user environments that
contain consumer data including Safe Attachments & Safe
Links
Audit Logsrecord and search desired user and admin
activity across your organization
eDiscovery use cases to manage access, place a hold on content locations
relevant to the case, associate multiple Content Searches with
the case, and export search results
Mail Flow Ruleslook for specific conditions in messages that pass through your
organization and take action on them.
Secure Scoreinsights into your security position and what features are
available to reduce risk while balancing productivity and
security
Service Assurancedeep insights for conducting risk assessments
with details on Microsoft Compliance reports
and transparent status of audited controls.
Advanced eDiscovery*significantly reduce cost and effort to identify relevant
documents & data relationships by using machine learning to
train the system to intelligently explore large datasets
Journaling in Exchange Onlinerespond to legal, regulatory, and compliance requirements by
recording inbound and outbound email communications.
Cloud Application Securitygain enhanced visibility and granular security controls and
policies including the ability to suspend user accounts,
revoking access to personal data
Customer Lockbox*control how a Microsoft support engineer
accesses your data during a help session
Cloud Application Securitygain enhanced visibility and granular security controls and
policies including the ability to block access to unmanaged
cloud applications
Information management policies With SharePoint Online, control how long to retain content, to
audit what people do with content, and to add barcodes or
labels to documents
Microsoft IntuneMDM, MAM and PC Management capabilities from the cloud.
Intune can provide you with access to corporate applications,
data and resources from almost anywhere, on any device while
keeping information contained.
Windows Event LogProvides rich logging capabilities that enable
admins to view logged information about OS,
application and user activities.
Windows SearchConfigure Indexing Options to enhance the capabilities of
Windows Search to locate and trace PII on a local machine.
Windows 10 EnterpriseWindows Hello, Credential Guard, Device Guard, Defender ATP,
Bitlocker, and Windows Information Protection – an operating
system designed to Protect.
Microsoft experiences’17#experiences17MON OFFRE DE SERVICE O365 : QUELLES STRATEGIES DE SECURITE ?
Usages, usages, usages!
Une couverture à 100% n’existe pas (toujours).
Des produits, des interfaces pour une gouvernance.
Nous sommes là, à votre disposition.
#experiences17
Doublez votre chance en répondant aussi au questionnaire de satisfaction globale !
* Le règlement est disponible sur demande au commissariat général de l’exposition. Image non-contractuelle
Notez cette session sur experiences17.microsoft.frEt tentez de gagner une Surface Pro
© 2017 Microsoft Corporation. All rights reserved.
experiences.microsoft.fr #experiences17
Recommended