Ma nouvelle offre de service O365 : Quelle(s) stratégie(s) de … › cdn › experiences... · 2017-10-16 · •Accès à Office 365 Service Health •Accès à Office 365 Security

Ma nouvelle offre de service O365 :

Quelle(s) stratégie(s) de sécurité pour répondre

aux menaces et enjeux réglementaires actuels ?

#experiences17

Maxime Rastello

Chief Technology Officer @ AZEO

Microsoft MVP Enterprise Mobility

Sylvain Castillon

Business Solution Manager @ Exakis

Microsoft experiences’17#experiences17MON OFFRE DE SERVICE O365 : QUELLES STRATEGIES DE SECURITE ?

experiences.microsoft.fr #experiences17


RGPD/GDPR

Quelques mots clés sur les 6 derniers mois…


Une plateforme SaaS complète

Qui comprend EM+S & W10


Projet de migration clé de transition vers le Cloud

La sécurité, dans tout ça ?

Prise de conscience : nouveaux cas d’usages sécurité!


Un trait d’union entre…

Principe : tour d’horizon



Points d’entrée sur Office 365

Beaucoup de clients ne s’intéressent à l’ensemble des services qu’après la migration


Quelles sont les fonctionnalités de sécurité intégrées aux services Office 365 ?

Mon tenant est-il correctement configuré et sécurisé ?

Comment contrôler l’accès à mes services Office 365 ?


Fonctionnement1. Analyse la sécurité de votre tenant

2. Analyse les activités de votre administrateurs

3. Dresse le bilan des bonnes pratiques Microsoft

4. Attribue un score final

Permet de réaliser un rapport d’étonnement sur la configuration et la sécurité de votre tenant O365 Fil conducteur pour l’établissement d’un plan d’action


Que pouvez-vous faire dès à présent ?

Identifiez les données à caractère personnel

à votre disposition ainsi que leur emplacement

Gérez l’accès aux données à caractère

personnel et leur utilisation

Mettez en place des contrôles de sécurité pour

éviter, détecter et répondre aux vulnérabilités et aux

piratages de données

Mettez en place des demandes de données

et consignez la documentation requise

Analysez les données et les systèmes,

maintenez la conformité et réduisez les risques

1 2 3 4 5

Rechercher Contrôler Protéger Signaler Examiner

DémoSecure Score



Azure Active Directory Connect et Connect Health

*

MIM

* Microsoft AzureActive Directory

Application RH

Autres référentiels

PowerShell

SQL (ODBC)

LDAP v3

Web Services ( SOAP, JAVA, REST)

Application Web ou Native

(Application mobile, LOB App)Applications on-premise(Sharepoint)

Applications SaaS

(Box, Salesforce)

Windows ServerActive Directory


Socle commun• Outillé et interopérable

• Pierre angulaire pour l’accès

• Collaboration vers l’externe

Contrôle d’accès• Intégration Azure MFA

• Accès conditionnels

Délégation & Self-Service

Rapports & Monitoring


Déploiement, en 2 temps• Suggérée, 1er temps

• Effective ensuite

Cinématique, en 2 temps1. Identification : Email ou Tèl.

2. Mode d’authentification

ObjectifsRationnaliser l’expérience

Proposer de nouveaux modes d’auth.



Vol d’identité• Réduire ce risque

Expérience autour du téléphone• 2nd facteur

• Appel, SMS, expérience « APP »

Déclenchement conditionné









La gouvernance d’un tenant prend de multiples formes• Utilisation des services Office 365

Portail d’admin Office 365

• Gestion des accès et privilèges

RBAC Azure AD + Administrative Units

Azure AD Access Review

Azure AD Privileged Identity Management


Helpdesk Administrator

Service Support Administrator

Billing Administrator

Directory Readers (legacy)

Exchange Service Administrator

Lync Service Administrator

User Account Administrator

Directory Writers (legacy)

SharePoint Service Administrator

Compliance Administrator

Directory Synchronization Accounts

Security Reader

Security Administrator

Privileged Role Administrator

Ne pas utiliser

PowerShell + nouveau portail

PowerShell ou appli dédiée


Security Reader• Lecture des rapports Identity Protection• Lectures des rapports Privileged Identity

Management• Accès à Office 365 Service Health• Accès à Office 365 Security & Compliance

Center

Security Administrator• Mêmes droits que Security Reader• En plus : Administration de ces services

Company Administrator• Même chose que Global administrator• Seul habilité à attribuer d’autres permissions

admin

Service Support Administrator• Monitorer l’état du service Azure• Gérer les Service Requests

HelpDesk Administrator• Monitorer l’état du service Azure• Gérer les Service Requests• Réinitialiser les mots de passe

User Account Administrator• Monitorer l’état du service Azure• Gérer les Service Requests• Réinitialiser les mots de passe (limité à certains

rôles)• Administrer les utilisateurs / groupes

Cloud Application Administrator• Gérer les applications Saas et Web App Proxy

Conditional Access Administrator• Gérer les règles d’accès conditionnel


Constat • Manque de granularité dans les droits d’administration

• Les droits dans l’ancien et le nouveau portail Azure sont différents

Besoins• Retranscrire la hiérarchie des permissions admin AD dans Azure

AD

• Limiter le champ d’actions des administrateurs

• Restriction des droits admin sur certains utilisateurs VIP


Groupe RBAC : User Account AdministratorAzure AD Directory

US UA Admin

UK UA Admin

US Users

UK Users

FR UsersFR UA Admin


Restrictions (Preview)• Scope sur les utilisateurs uniquement

• 2 rôles attribuables (User Account et HelpDesk Administrator)

• Administration uniquement en PowerShell

Annonce Ignite• Intégration dans le portail O365 (prochaines semaines)



Voir l’activités des rôles à privilèges• Définition de la période d’audit

• Définition de la cible à auditer• Membre d’un groupe

• Utilisateurs d’une app SaaS

Revue du rapport d’audit• Statuer pour chaque compte

• Action recommandée proposée


Définir des administrateurs éligibles• Basé sur les rôles RBAC Azure AD

Assigner des permissions admintemporaires• De 30min à 72h max

Approbation possible par un admin



De plus en plus de périphériques…• PCs d’entreprise, PCs perso, Mac, tablettes…

• iPhone, Android et même… Windows Mobile ! (si si)

… qui consomment de plus en plus de services


Comment contrôler l’accès aux services Office 365 quel que soit le canal utilisé ?

Comment assurer une expérience unifiée sur tous les périphériques ?

Accès conditionnel et Microsoft Intune


Accès aux applications SaaS pour les appareils• Enrollés dans Intune et marqués comme « conformes »

• Joints à un domaine AD et enregistrés dans Azure AD

• Dotés d’un client applicatif approuvé

Systèmes supportés• Windows 7 (MSI + ADFS)

• Windows 8.1 / Windows 10 (Natif)

• iOS, Android, Windows Mobile

• macOS (new)

Clients : compatibles Authent’ Moderne

Navigateurs : IE11, Edge, Chrome (extension), Safari (new)


Accès aux applications SaaS• Avec MFA obligatoire

• Avec MFA si en dehors de l’entreprise

• Blocage de l’accès si en dehors de l’entreprise

Définition de la localisation• Basée sur l’IP publique de l’utilisateur

Définition du périmètre de l’entreprise• Plages d’IP publiques

• Choix des pays


Navigateurs : Tous


Accès aux applications SaaS pour les utilisateurs• Détectés comme « à risque » via Identity Protection

• 3 niveaux de risque : Low, Medium ou High


Navigateurs : Tous


Accès conditionnel pour l’accès VPN

Accès conditionnel + Terms of Use

Autres contrôles au lieu du MFA

• RSA, Duo ou Trusona

Session Control

• SharePoint Online

• Cloud App Security (new)

DémoRisk-based conditional access



Des données de plus en plus volatiles…• Synchronisation des emails, contacts, fichiers…

• Multiplication des applications clientes mobiles

• Accès via un navigateur mobile

… qui peuvent être facilement perdues de vue• Upload sur des stockages en ligne (iCloud, Dropbox, OneDrive…)

• Envoi par email

• Copie sur clé USB, disque externe


Comment sécuriser le stockage des données sur des périphériques mobiles ? Mobile Application Management (MAM)

Comment limiter l’accès aux documents sensibles ?

Comment auditer qui accède aux données à risque ? Azure Information Protection


Stratégies Intune• Aucun besoin d’enroller le périphérique

• Elles s’appliquent uniquement surles données d’entreprise

Exemples de restriction• Demande de code PIN au démarrage

• Bloquer le copier / coller en dehors de l’app

• Forcer une version minimale de l’app mobile

• Chiffrer les données contenues dans l’app


Protection des documents• A l’initiative de l’utilisateur (manuellement)

• Basée sur des critères préétablis (classification auto)

• Sur toute les plateformes (Windows, Mac, smartphones)

Suivi de l’accès aux documents• Voir qui a ouvert un document partagé

• Révoquer l’accès à un document sensible


Accès conditionnel pour les fichiers protégés

Azure Information Protection Scanner

• Classification et protection des documents on-premises• Serveurs de fichiers

• Serveurs SharePoint

DémoAzure Information Protection



Dashboard dédié

Fonctions de Protection


Début d’une attaque ?• « Phish & Click »

• Pour la majorité d’entre elles

Réduction du risque ?• Protéger la messagerie

• Exchange Online Protection

• Advanced Threat Protection


Offre de base O365

Réduction du risque face au virus & malware• « Protéger contre ce que l’on connait »

• Moteur de protection virus & malware

• Gestion d’URLs (spam, phishing, spoofing)


Solution complémentaire• « Evaluer ce que l’on ne connait pas »

Safe Attachments• Exécution et Analyse comportementale (ML)

• Environnement cloisonné (chambre détonation)

Safe Links• Réécriture d’URLs

Rapports• Enquêter sur les cas bloqués


Sûr

Exchange Online Protection (EOP)• Filtres multiples • Trois moteurs anti-virus

Liens• Listes continuellement mises à

jour d'URL malveillantes

Destinataire

Réécriture de liens sûrsNon sûr

Pièce jointe• Type de fichier pris en

charge• Nettoyé par les filtres

AV/AS• Pas dans la liste de

réputation

Chambre de détonation(bac à sable)

analyse comportementale avec apprentissage automatique (machine learning)

Exécutable ?

Appel au registre ?

Élévation de droits ?

Expéditeur


CASB or not CASB ?• Cloud Access Security Broker

• Analyser les usages Cloud

• Se positionner par rapport à ceux-ci (Shadow IT ?)

• Visibilité et alertes

• Agir automatiquement sur un périmètre intéropérable

2 produits : orienté O365 ou multi-Cloud• Cloud App Security (CAS)

• Advanced Security Management (ASM)


ASM = CAS centré sur O365

Une solution multi-SaaS

• Découverte du Shadow IT au sens large (13.000+)

• Visibilité étendue, capacité de travail sur les données

et leur protection

• Investigation et prévention

Office 365 Advanced

Security Management

Plus de visibilité et de contrôle sur O365

• Découverte des App avec fonctionnalités analogues aux

services O365

• Gestion des permissions sur les App

• Alertes de sécurité avancée

Cloud App Security









Microsoft

Intelligent

Security

Graph

Taille

Industrie

Topographie

Configuration

Rôle

Actions

Recommandations personnalisées


Gouvernance des données• Archivage, Rétention : Data Governance

• Classification, Auto. : Advanced Data Governance

Visibilité et investigation• « Content Search »

• eDiscovery/Advanced eDiscovery

Fuite d’information & Alertes• Data Leak Prevention (DLP)

• Plusieurs moteurs




Quick Wins• Rapport d’étonnement & Sécurisation des Identités

Mise en place d’une stratégie de sécurité• Identification des usages!

• Intégration de terminaux, services et gestion de la donnée

Posture sécurité équilibrée• Protection, Détection/Réponse & Conformité


Démarche analogue à une analyse de risques• Cartographie & Indicateurs

• Analyse d’écarts & Correction

• Itérations

Outillage• Cartographie & Suivi

• Combler les écarts : automatisation, audit, nouvelles briques, etc.


DiscoverRight to Erasure

Right to Data Portability

ManageDocumentation

Privacy by Design

ProtectData Security

Data Transfer

ReportDocumentation

Breach Response and Notification

Security & Compliance CenterA one-stop portal for protecting your data in Office 365. Grant permissions to people who perform compliance tasks.

Data Loss PreventionUnified policies covering client end-points, empowering IT pros

Advanced Data Governance*Classify, preserve and/or purge data based on automatic analysis and policy recommendations

Azure Information ProtectionAutomatically Identify, Label and Protect sensitive data across you environment from unwarranted access or use. Alerts, analysis and remediation for content.

Azure Active Directory (Identity Protection and Privileged Identity Management inclusive)Identify Privileged and Non-Privileged users. Control access to resources, applications and data, in the cloud and on prem, with hybrid IAM. RBAC appropriate content to appropriate personnel. Revoke access instantly. Audit and report access to all

services.

Content searchrun very large searches across mailboxes, public folders, Office

365 Groups, Microsoft Teams, SharePoint Online sites, One

Drive for Business locations, and Skype for Business

conversations

Data Governancearchive and preserve content in Exchange Online mailboxes,

SharePoint Online sites, and OneDrive for Business locations,

and import data into your Office 365 organization.

Advanced Threat Protectionprovides security functions that protect user environments that

contain consumer data including Safe Attachments & Safe

Links

Audit Logsrecord and search desired user and admin

activity across your organization

eDiscovery use cases to manage access, place a hold on content locations

relevant to the case, associate multiple Content Searches with

the case, and export search results

Mail Flow Ruleslook for specific conditions in messages that pass through your

organization and take action on them.

Secure Scoreinsights into your security position and what features are

available to reduce risk while balancing productivity and

security

Service Assurancedeep insights for conducting risk assessments

with details on Microsoft Compliance reports

and transparent status of audited controls.

Advanced eDiscovery*significantly reduce cost and effort to identify relevant

documents & data relationships by using machine learning to

train the system to intelligently explore large datasets

Journaling in Exchange Onlinerespond to legal, regulatory, and compliance requirements by

recording inbound and outbound email communications.

Cloud Application Securitygain enhanced visibility and granular security controls and

policies including the ability to suspend user accounts,

revoking access to personal data

Customer Lockbox*control how a Microsoft support engineer

accesses your data during a help session

Cloud Application Securitygain enhanced visibility and granular security controls and

policies including the ability to block access to unmanaged

cloud applications

Information management policies With SharePoint Online, control how long to retain content, to

audit what people do with content, and to add barcodes or

labels to documents

Microsoft IntuneMDM, MAM and PC Management capabilities from the cloud.

Intune can provide you with access to corporate applications,

data and resources from almost anywhere, on any device while

keeping information contained.

Windows Event LogProvides rich logging capabilities that enable

admins to view logged information about OS,

application and user activities.

Windows SearchConfigure Indexing Options to enhance the capabilities of

Windows Search to locate and trace PII on a local machine.

Windows 10 EnterpriseWindows Hello, Credential Guard, Device Guard, Defender ATP,

Bitlocker, and Windows Information Protection – an operating

system designed to Protect.


Usages, usages, usages!

Une couverture à 100% n’existe pas (toujours).

Des produits, des interfaces pour une gouvernance.

Nous sommes là, à votre disposition.

#experiences17

Doublez votre chance en répondant aussi au questionnaire de satisfaction globale !

* Le règlement est disponible sur demande au commissariat général de l’exposition. Image non-contractuelle

Notez cette session sur experiences17.microsoft.frEt tentez de gagner une Surface Pro

© 2017 Microsoft Corporation. All rights reserved.


Documents

Ma nouvelle offre de service O365 : Quelle(s) stratégie(s) de … › cdn › experiences... · 2017-10-16 · •Accès à Office 365 Service Health •Accès à Office 365 Security