Upload
tranhanh
View
231
Download
1
Embed Size (px)
Citation preview
Vous êtes propriétaire de vos
données et identités, et responsable
de leur protection, de la sécurité de
vos ressources locales et de celles
des composants cloud que vous
contrôlez (dans une mesure variable
selon le type de service).
© 2016 Microsoft Corporation. Tous droits réservés. Pour envoyer vos commentaires sur cette documentation, merci de nous écri re à l adresse [email protected].© 2016 Microsoft Corporation. Tous droits réservés. Pour envoyer vos commentaires sur cette documentation, merci de nous écri re à l adresse [email protected].
Présentation de la sécurité dans le monde du cloud
La sécurité de vos services de cloud computing Microsoft est un
partenariat entre vous et Microsoft.
Clés du succès
Les entreprises tirent parti d une approche méthodique de la sécurité dans le
cloud. Cela implique d investir dans des capacités de base au sein de
l organisation, qui conduisent à des environnements sécurisés.
La sécurité dans le cloud est un partenariat Principes éprouvés de Microsoft concernant le cloud
Les services de cloud computing
Microsoft reposent sur une base
confiance et de sécurité. Microsoft
met à votre disposition des
contrôles et fonctionnalités de
sécurité pour vous aider à protéger
vos données et applications.
Les responsabilités et les contrôles relatifs à la sécurité des applications et réseaux varient selon le type de service.
Microsoft conseille de développer des
stratégies précisant comment évaluer,
adopter et utiliser des services cloud afin
de minimiser les incohérences et
vulnérabilités que des pirates pourraient
exploiter.
Assurez-vous que les stratégies de
gouvernance et de sécurité sont à jour
pour les services cloud, et implémentées
dans l ensemble de l organisation :
Stratégies d identité
Stratégies de données
Stratégies de conformité et
documentation
Stratégie de gouvernance et
de sécurité
Les services d identité constituent la base
des systèmes de sécurité. La plupart des
organisations utilisent des identités
existantes pour les services cloud, et ces
systèmes d identité doivent être sécurisés
au moins au niveau des services cloud
Systèmes d identité et de
gestion d identité
Sensibilisation aux menaces
Vos administrateurs IT contrôlent sur les
services cloud et les services de gestion
d identité. Des stratégies de contrôle
d accès cohérentes sont déterminantes
pour la sécurité dans le cloud. Les
comptes privilégiés, les informations
d identification et les stations de travail
sur lesquelles les comptes sont utilisés
doivent être protégés et surveillés.
Gestion des privilèges
administratifs
Votre responsabilité en matière de sécurité est basée sur le type de service
cloud. Le diagramme suivant récapitule l équilibre des responsabilités
respectives de Microsoft et du client.
Transparence
Nous expliquons ce que nous faisons de vos données,
et comment nous les gérons et sécurisons, dans un
langage simple et clair.
ConformitéPortefeuille de normes de conformité et certifications le
plus important du secteur.
Confidentialité
et contrôle
Confidentialité prise en compte dès la conception, avec l engagement d utiliser les informations des clients uniquement pour la fourniture des services et non à des fins publicitaires.
SécuritéLa protection de vos données avec une technologie, des
processus et un chiffrement de pointe est notre priorité.
Microsoft Vous
Pour des informations et ressources supplémentaires, voir les pages 2 à 5.
Gouvernance des données
etgestion des droits
Responsabilité SaaS PaaS IaaS Local
Points de terminaison
clients
Gestion des comptes et des
accès
Infrastructure d identités et
d annuaires
Application
Contrôles réseau
Système d exploitation
Réseau physique
Centre de données
physique
ClientClientMicrosoftMicrosoft
SaaSSoftware as a Service
Microsoft fait fonctionner et sécurise l infrastructure, le système d exploitation hôte et les couches d application. Les données sont sécurisées au niveau des centres de données et en transit entre Microsoft et le client.
Vous contrôlez l accès à vos données et identités, et sécurisez celles-ci, notamment en configurant l ensemble des contrôles d applications disponibles dans le service cloud.
SaaSSoftware as a Service
Microsoft fait fonctionner et sécurise l infrastructure, le système d exploitation hôte et les couches d application. Les données sont sécurisées au niveau des centres de données et en transit entre Microsoft et le client.
Vous contrôlez l accès à vos données et identités, et sécurisez celles-ci, notamment en configurant l ensemble des contrôles d applications disponibles dans le service cloud.
PaaSPlatform as a Service
Microsoft fait fonctionner et sécurise l infrastructure et les couches du système d exploitation hôte.
Vous contrôlez l accès à vos données, identités et applications, et sécurisez celles-ci, notamment en appliquant des contrôles d infrastructure disponibles à partir du service cloud.
Vous contrôlez entièrement le code et la configuration de l application, y compris les exemples de code fournis par Microsoft ou d autres sources.
PaaSPlatform as a Service
Microsoft fait fonctionner et sécurise l infrastructure et les couches du système d exploitation hôte.
Vous contrôlez l accès à vos données, identités et applications, et sécurisez celles-ci, notamment en appliquant des contrôles d infrastructure disponibles à partir du service cloud.
Vous contrôlez entièrement le code et la configuration de l application, y compris les exemples de code fournis par Microsoft ou d autres sources.
IaaSInfrastructure as a Service
Microsoft fait fonctionner et
sécurise l infrastructure de base
et les couches du système
d exploitation hôte.
Vous contrôlez l accès aux
données, identités, applications,
systèmes d exploitation
virtualisés et contrôles
d infrastructure disponibles, et
sécurisez ceux-ci à partir du
service cloud.
IaaSInfrastructure as a Service
Microsoft fait fonctionner et
sécurise l infrastructure de base
et les couches du système
d exploitation hôte.
Vous contrôlez l accès aux
données, identités, applications,
systèmes d exploitation
virtualisés et contrôles
d infrastructure disponibles, et
sécurisez ceux-ci à partir du
service cloud.
Cloud privé
Les clouds privés sont des
solutions locales qui vous
appartiennent, que vous
exploitez et que vous sécurisez.
Les cloud privés diffèrent des
infrastructures locales
traditionnelles en ce qu ils
suivent les principes du cloud
pour offrir la disponibilité et la
flexibilité du cloud.
Cloud privé
Les clouds privés sont des
solutions locales qui vous
appartiennent, que vous
exploitez et que vous sécurisez.
Les cloud privés diffèrent des
infrastructures locales
traditionnelles en ce qu ils
suivent les principes du cloud
pour offrir la disponibilité et la
flexibilité du cloud.
Hôtes physiques
Vous êtes propriétaire de vos données et
contrôlez la manière dont elles doivent être
utilisées, partagées, mises à jour et
publiées. Vous devez classer vos données
sensibles, et vous assurer qu elles sont
protégées et surveillées à l aide de
stratégies de contrôle d accès appropriées
chaque fois qu elles sont stockées et
pendant leur transit.
Protection des données
Les organisations sont confrontées à une
série de menaces à la sécurité aux
motivations variables. Évaluez les menaces
qui planent sur votre organisation et
mettez-les en contexte en tirant parti de
ressources telles que l intelligence des
menaces et les centres d analyse et de
partage d informations (ISAC).
Août 2016
Sécurité dans un monde prêt pour le cloud
http://aka.ms/securecustomermva
Sécurité dans un monde prêt pour le cloud
http://aka.ms/securecustomermvaMicrosoft Virtual AcademyMicrosoft Virtual Academy
Sécurité dans un monde prêt pour le cloud
http://aka.ms/securecustomermvaMicrosoft Virtual Academy
Tout ce que les architectes informatiques doivent
savoir sur la sécurité et la confiance dans les
plateformes et services Microsoft Cloud.
1 2 3 4 51 2 3 4 5Rubrique 1 sur 5
Sécurité Microsoft Cloud
pour Enterprise
Architects
FISC Japon
GCIO Nouvelle-Zélande
Certifications de sécurité de niveau supérieurDe nombreuses organisations internationales, sectorielles et régionales
certifient de façon indépendance que les plateformes et services de cloud
computing Microsoft respectent des normes de sécurité rigoureuses et sont
fiables.
En fournissant aux clients des services cloud conformes, vérifiés de façon
indépendante, Microsoft facilite également la mise en conformité de votre
infrastructure et de vos applications.
Cette page résume les principales certifications. Pour la liste complète des
certifications de sécurité et plus d informations, voir le Centre de gestion de la
confidentialité Microsoft.
© 2016 Microsoft Corporation. Tous droits réservés. Pour envoyer vos commentaires sur cette documentation, merci de nous écri re à l adresse [email protected].© 2016 Microsoft Corporation. Tous droits réservés. Pour envoyer vos commentaires sur cette documentation, merci de nous écri re à l adresse [email protected].
Domaine réglementaire et
de conformité
Microsoft Dynamics
CRMMicrosoft Intune
SOC 2 Type 2
CSA STAR 1
FedRAMP
DISA DoD
IRS 1075
HIPAA BA
PCI-DSS niveau 1
FERPA
ISO 27001
ISO 27018
SOC 1 Type 2
CJIS
Microsoft AzureOffice 365
CDSA
Clauses types de l UE
RU G-Cloud v6
ASD Gouv. Australie
MTCS Singapour
http://www.microsoft.com/trustcenter
Centre de gestion de la
confidentialité Microsoft
http://www.microsoft.com/trustcenter
Centre de gestion de la
confidentialité Microsoft
Août 2016
https://www.microsoft.com/en-us/
TrustCenter/Compliance/default.aspx
Afficher la conformité par service
https://www.microsoft.com/en-us/
TrustCenter/Compliance/default.aspx
Afficher la conformité par service
Niveau 2 Niveau 4
N/A N/A N/AN/A N/A N/AN/A N/A N/A
N/AN/A
N/A N/A N/AN/A N/A N/AN/A N/A N/A
Largement applicable
Gouvernement des
États-Unis
Spécifique du secteur
Spécifique du pays/de
la région
ITAR
FDA 21 CFR Part 11
Tout ce que les architectes informatiques doivent
savoir sur la sécurité et la confiance dans les
plateformes et services Microsoft Cloud.
1 2 3 4 51 2 3 4 5Rubrique 2 sur 5
Sécurité Microsoft Cloud
pour Enterprise
Architects
Rôle de Microsoft
Grâce à des pratiques de sécurité de pointe et à une expérience sans égale dans l exécution de certains des services en ligne les plus important au monde, Microsoft offre des services cloud d entreprise auxquels les clients peuvent se fier.
es décennies d expérience en ingénierie ont permis à Microsoft de développer des meilleures pratiques de pointe en matière de conception et de gestion de services en ligne. Ce modèle résume l approche complète de Microsoft, des données jusqu aux supports physiques et centres de données. Examinez soigneusement les responsabilités du client pour comprendre votre rôle dans le partenariat de sécurité.
Microsoft s engage à assurer la confidentialité et la
sécurité de vos données et applications dans le cloud
Confidentialité des données
Vous avez le contrôle de vos données. Vous contrôlez où
elles sont stockées, ainsi que la manière d y accéder et de les
supprimer en toute sécurité. Selon le service, vous choisissez
l emplacement géographique où vos données sont stockées.
Accès aux donnéesVos données vous appartiennent.
Nous appelons « données client » toutes les données
(fichiers texte, son, logiciel ou image) qu un client
fournit, ou qui sont fournies pour le compte d un client,
à Microsoft via l utilisation des services en ligne.
Propriété des données
Utilisation des données
Dans le cadre du processus de développement, des contrôles de
confidentialité sont effectués pour s assurer que les exigences de
confidentialité son correctement satisfaites. Cela inclut la
vérification de la présence de fonctionnalités liées à la
confidentialité, qui permettent au client de contrôler qui peut
accéder à ses données, et de configurer le service de façon à
satisfaire ses exigences de confidentialité réglementaires.
Contrôles de confidentialité
Si une administration nous approche
pour accéder à des données client, nous
vous transmettons la demande chaque
fois que c est possible. Nous contestons
en justice toute demande de nature
juridique non valide interdisant la
divulgation d une demande
administrative de données client.
Divulgation de demande administrative de données
Vos données vous
appartiennent. Si vous
choisissez de quitter le service,
vous pouvez emporter vos
données avec vous et
demander leur suppression
définitive de nos serveurs.
Portabilité des données
Protection des
données et de la
confidentialité dans
le cloud
En savoir plus...
Protection des
données et de la
confidentialité dans
le cloud
En savoir plus...
Chiffrement des données et gestion des
droitsUn chiffrement de pointe est utilisé pour sécuriser les données en
transit entre des centres de données et vous, de même qu au sein
des centres de données Microsoft. De plus, les clients peuvent activer
la fonctionnalité PFS (Perfect Forward Secrecy). Celle-ci utilise une clé
de chiffrement différente pour chaque connexion, ce qui complique
le déchiffrement des connexions pour d éventuels attaquants.
Données en transit
Pour des solutions basées sur Azure, vous pouvez choisir
d implémenter un chiffrement supplémentaire en utilisant un
éventail d approches. Vous contrôlez la méthode et les clés de
chiffrement. Le chiffrement TLS intégré permet aux clients de
chiffrer des communications dans et entre des déploiements,
d Azure vers des centres de données locaux, et d Azure vers
des administrateurs et utilisateurs.
Chiffrement de solutions basées sur Azure
Office 365 et d autres
services SaaS utilisent le
chiffrement au repos pour
protéger vos données sur
des serveurs Microsoft.
Données au repos
RMS Azure utilise des stratégies de chiffrement, d identité et
d autorisation pour vous aider à sécuriser vos fichiers et messages
électroniques. La protection reste associée aux fichiers et messages
électroniques, indépendamment de l emplacement, à l intérieur ou à
l extérieur de votre organisation, sur des réseaux ou serveurs de
fichiers, ou dans des applications.
Azure Rights Management (Azure RMS)
Vous pouvez utiliser Azure RMS avec
Office 365, SharePoint Online et Exchange Online.
Vous pouvez configurer Azure RMS
pour votre organisation entière.
Vous pouvez apporter votre propre
clé pour vous conformer aux stratégies de votre organisation.
Azure Rights
Management
En savoir plus...
Azure Rights
Management
En savoir plus...
Identité et accès
Microsoft propose des solutions complètes de gestion
d identité et d accès que les clients peuvent utiliser sur Azure
et d autres services tels qu Office 365, qui les aident à
simplifier la gestion de plusieurs environnements et à
contrôler l accès des utilisateur aux applications.
Vous contrôlez l accès à vos données et applicationsAzure Active Directory permet aux clients de gérer l accès à
Azure, à Office 365 et à une foule d autres applications cloud.
L authentification multifacteur et la surveillance des accès offrent
une sécurité renforcée.
Azure Active Directory et
Authentification multifacteur
Microsoft
Informatique
de confiance
En savoir plus...
Microsoft
Informatique
de confiance
En savoir plus...
Protégez les clés de chiffrement et autres secrets utilisés par
les applications et services cloud. Microsoft ne voit pas et
n extrait pas vos clés.
Azure Key Vault
Azure Active Directory facilite l intégration et l authentification
unique à de nombreuses applications SaaS populaires
d aujourd ui, telles que Salesforce.
Gestion d identité SaaS tierce
Sécurité d infrastructure et de mise en
réseau de centres de donnéesLes clients peuvent utiliser
ExpressRoute pour établir une
connexion privée aux centres
de données Azure, tout en
maintenant leur trafic en
dehors d Internet.
Connexion privée
OSA est un cadre qui se focalise sur les problèmes d infrastructure
pour contribuer à garantir des opérations sécurisées tout au long
du cycle de vie des services basés sur le cloud.
Sécurité opérationnelle des services en ligne (OSA)
Logiciels et services
Microsoft Azure, Office 365,
Dynamics CRM Online et tous
les autres services cloud
d entreprise utilisent les
processus documentés dans
SDL.
Développement
sécurisé dans le
Microsoft Cloud
Les considérations relatives à la confidentialité et à la
sécurité sont incorporées dans SDL, processus de
développement de logiciels qui permet aux développeurs de
créer des logiciels plus sécurisés et de répondre aux
exigences de conformité en matière de sécurité et de
confidentialité. SDL inclut ce qui suit :
Secure Development Lifecycle (SDL)
Évaluation des risques
Analyse et réduction de surface d attaque
Modélisation des menaces
Réponse aux incidents
Révision et certification de version
Security
Development
Lifecycle
En savoir plus...
Security
Development
Lifecycle
En savoir plus...
Test et surveillance proactifs
En plus des pratiques de « prévention de violation » que sont
la modélisation des menaces, les révisions de code et les tests
de sécurité, Microsoft adopte une approche de la protection
des données et des services basée sur le principe de
« présomption de violation » :
Prévention de violation, présomption de
violation
La DCU (Digital Crimes Unit) de Microsoft
vise à offrir une expérience numérique
plus sûre pour chaque personne et
organisation sur la planète, en protégeant
les populations vulnérables, en luttant
contre les programmes malveillants, et en
réduisant le risque numérique.
DCU (Digital Crimes Unit) de Microsoft
Simuler des violations réelles
Tests d intrusion de site en
conditions réelles
Journalisation et surveillance
centralisées de la sécurité
Exercices de réponse aux
incidents de sécurité
En savoir plus...En savoir plus...
© 2016 Microsoft Corporation. Tous droits réservés. Pour envoyer vos commentaires sur cette documentation, merci de nous écri re à l adresse [email protected].© 2016 Microsoft Corporation. Tous droits réservés. Pour envoyer vos commentaires sur cette documentation, merci de nous écri re à l adresse [email protected].
Sécurité du centre de données physique
Les centres de données sont physiquement construits, gérés
et surveillés pour protéger les données et services contre
tout accès non autorisé, ainsi que contre les menaces
environnementales.
Sécurité physique surveillée 24/24 h
Lorsque des clients suppriment des données ou quittent un service,
ils peuvent emporter leurs données avec eux et demander leur
suppression définitive des serveurs de Microsoft. Microsoft
applique des normes strictes en matière de réécriture des
ressources de stockage avant leur réutilisation, ainsi que de
destruction physique du matériel désaffecté. Le matériel et les
lecteurs défectueux sont démagnétisés et détruits.
Destruction des données
Microsoft applique une stratégie d accès non permanent
aux données client. Nous avons conçu nos produits de
façon à ce qu une majorité d opérations de service soient
entièrement automatisées, et à ce que seul un petit
nombre d activités requièrent une intervention humaine.
L accès aux données est accordé au personnel de Microsoft
uniquement s il est nécessaire pour le support technique
ou la conduite d opérations. L accès est soigneusement
géré et journalisé, puis révoqué quand il n est plus
nécessaire. L accès du centre de données aux systèmes qui
stockent des données client est strictement contrôlé via
des processus de zone de verrouillage.
Zéro privilège permanent
Équipe rouge de
Microsoft Enterprise
Cloud
En savoir plus...
Équipe rouge de
Microsoft Enterprise
Cloud
En savoir plus...
Sécurité,
confidentialité et
conformité dans
Microsoft Azure
En savoir plus...
Sécurité,
confidentialité et
conformité dans
Microsoft Azure
En savoir plus...
Sécurité
opérationnelle des
services en ligne
(OSA)
En savoir plus...
Sécurité
opérationnelle des
services en ligne
(OSA)
En savoir plus...
Suite à la page suivante
En savoir plus . . .
Rapport des
demandes
d application des
lois
En savoir plus . . .
Rapport des
demandes
d application des
lois
Août 2016
Nous n utilisons pas les données client à des fins étrangères à
la fourniture du service, telles que la publicité. Nous avons une
stratégie d accès non permanent. L accès aux données client
par le personnel de Microsoft est limité, accordé uniquement
s il est nécessaire pour le support technique ou la conduite des
opérations, puis révoqué lorsqu il n est plus nécessaire.
Le Cyber Defense Operations Center (centre des opérations de
cyberdéfense) de Microsoft est service de cybersécurité et de défense
opérationnel en permanence, qui réunit nos experts en sécurité et des
chercheurs spécialisés en traitement de données dans un emplacement
centralisé. Des outils logiciels avancés et l analytique en temps réel nous
aident à détecter et à traiter les menaces pesant sur l infrastructure cloud,
les produits, les appareils et les ressources internes de Microsoft.
Microsoft Cyber Defense Operations Center
Vidéo : centre(s) de données
Azure du Microsoft Cloud –
Visite guidée de l intérieur
Vidéo : centre(s) de données
Azure du Microsoft Cloud –
Visite guidée de l intérieur
En savoir plus...
Vidéo : centre(s) de données
Azure du Microsoft Cloud –
Visite guidée de l intérieur
En savoir plus...
Tout ce que les architectes informatiques doivent
savoir sur la sécurité et la confiance dans les
plateformes et services Microsoft Cloud.
1 2 3 4 51 2 3 4 5Rubrique 3 sur 5
Sécurité Microsoft Cloud
pour Enterprise
Architects
Rôle de Microsoft
Grâce à des pratiques de sécurité de pointe et à une expérience sans égale dans l exécution decertains des services en ligne les plus important au monde, Microsoft offre des services cloudd entreprise auxquels les clients peuvent se fier.
es décennies d expérience en ingénierie ont permis à Microsoft de développer des meilleures pratiques de pointe en matière de conception et de gestion de services en ligne. Ce modèle résumel approche complète de Microsoft, des données jusqu aux supports physiques et centres de données. Examinez soigneusement les responsabilités du client pour comprendre votre rôle dans lepartenariat de sécurité.
Microsoft s engage à assurer la confidentialité et la
sécurité de vos données et applications dans le cloud
Confidentialité des données
Vous avez le contrôle de vos données. Vous contrôlez où
elles sont stockées, ainsi que la manière d y accéder et de les
supprimer en toute sécurité. Selon le service, vous choisissez
l emplacement géographique où vos données sont stockées.
Accès aux donnéesVos données vous appartiennent.
Nous appelons « données client » toutes les données
(fichiers texte, son, logiciel ou image) qu un client
fournit, ou qui sont fournies pour le compte d un client,
à Microsoft via l utilisation des services en ligne.
Propriété des données
Utilisation des données
Dans le cadre du processus de développement, des contrôles de
confidentialité sont effectués pour s assurer que les exigences de
confidentialité son correctement satisfaites. Cela inclut la
vérification de la présence de fonctionnalités liées à la
confidentialité, qui permettent au client de contrôler qui peut
accéder à ses données, et de configurer le service de façon à
satisfaire ses exigences de confidentialité réglementaires.
Contrôles de confidentialité
Si une administration nous approche
pour accéder à des données client, nous
vous transmettons la demande chaque
fois que c est possible. Nous contestons
en justice toute demande de nature
juridique non valide interdisant la
divulgation d une demande
administrative de données client.
Divulgation de demande administrative de données
Vos données vous
appartiennent. Si vous
choisissez de quitter le service,
vous pouvez emporter vos
données avec vous et
demander leur suppression
définitive de nos serveurs.
Portabilité des données
Protection des
données et de la
confidentialité dans
le cloud
En savoir plus...
Protection des
données et de la
confidentialité dans
le cloud
En savoir plus...
Chiffrement des données et gestion des
droitsUn chiffrement de pointe est utilisé pour sécuriser les données en
transit entre des centres de données et vous, de même qu au sein
des centres de données Microsoft. De plus, les clients peuvent activer
la fonctionnalité PFS (Perfect Forward Secrecy). Celle-ci utilise une clé
de chiffrement différente pour chaque connexion, ce qui complique
le déchiffrement des connexions pour d éventuels attaquants.
Données en transit
Pour des solutions basées sur Azure, vous pouvez choisir
d implémenter un chiffrement supplémentaire en utilisant un
éventail d approches. Vous contrôlez la méthode et les clés de
chiffrement. Le chiffrement TLS intégré permet aux clients de
chiffrer des communications dans et entre des déploiements,
d Azure vers des centres de données locaux, et d Azure vers
des administrateurs et utilisateurs.
Chiffrement de solutions basées sur Azure
Office 365 et d autres
services SaaS utilisent le
chiffrement au repos pour
protéger vos données sur
des serveurs Microsoft.
Données au repos
RMS Azure utilise des stratégies de chiffrement, d identité et
d autorisation pour vous aider à sécuriser vos fichiers et messages
électroniques. La protection reste associée aux fichiers et messages
électroniques, indépendamment de l emplacement, à l intérieur ou à
l extérieur de votre organisation, sur des réseaux ou serveurs de
fichiers, ou dans des applications.
Azure Rights Management (Azure RMS)
Vous pouvez utiliser Azure RMS avec
Office 365, SharePoint Online et Exchange Online.
Vous pouvez configurer Azure RMS
pour votre organisation entière.
Vous pouvez apporter votre propre
clé pour vous conformer aux stratégies de votre organisation.
Azure Rights
Management
En savoir plus...
Azure Rights
Management
En savoir plus...
Identité et accès
Microsoft propose des solutions complètes de gestion
d identité et d accès que les clients peuvent utiliser sur Azure
et d autres services tels qu Office 365, qui les aident à
simplifier la gestion de plusieurs environnements et à
contrôler l accès des utilisateur aux applications.
Vous contrôlez l accès à vos données et applicationsAzure Active Directory permet aux clients de gérer l accès à
Azure, à Office 365 et à une foule d autres applications cloud.
L authentification multifacteur et la surveillance des accès offrent
une sécurité renforcée.
Azure Active Directory et
Authentification multifacteur
Microsoft
Informatique
de confiance
En savoir plus...
Microsoft
Informatique
de confiance
En savoir plus...
Protégez les clés de chiffrement et autres secrets utilisés par
les applications et services cloud. Microsoft ne voit pas et
n extrait pas vos clés.
Azure Key Vault
Azure Active Directory facilite l intégration et l authentification
unique à de nombreuses applications SaaS populaires
Gestion d identité SaaS tierce
Sécurité d infrastructure et de mise en
réseau de centres de donnéesLes clients peuvent utiliser
ExpressRoute pour établir une
connexion privée aux centres
de données Azure, tout en
maintenant leur trafic en
dehors d Internet.
Connexion privée
OSA est un cadre qui se focalise sur les problèmes d infrastructure
pour contribuer à garantir des opérations sécurisées tout au long
du cycle de vie des services basés sur le cloud.
Sécurité opérationnelle des services en ligne (OSA)
Logiciels et services
Microsoft Azure, Office 365,
Dynamics CRM Online et tous
les autres services cloud
d entreprise utilisent les
processus documentés dans
SDL.
Développement
sécurisé dans le
Microsoft Cloud
Les considérations relatives à la confidentialité et à la
sécurité sont incorporées dans SDL, processus de
développement de logiciels qui permet aux développeurs de
créer des logiciels plus sécurisés et de répondre aux
exigences de conformité en matière de sécurité et de
confidentialité. SDL inclut ce qui suit :
Secure Development Lifecycle (SDL)
Évaluation des risques
Analyse et réduction de surface d attaque
Modélisation des menaces
Réponse aux incidents
Révision et certification de version
Security
Development
Lifecycle
En savoir plus...
Security
Development
Lifecycle
En savoir plus...
Test et surveillance proactifs
En plus des pratiques de « prévention de violation » que sont
la modélisation des menaces, les révisions de code et les tests
de sécurité, Microsoft adopte une approche de la protection
des données et des services basée sur le principe de
« présomption de violation » :
Prévention de violation, présomption de
violation
La DCU (Digital Crimes Unit) de Microsoft
vise à offrir une expérience numérique
plus sûre pour chaque personne et
organisation sur la planète, en protégeant
les populations vulnérables, en luttant
contre les programmes malveillants, et en
réduisant le risque numérique.
DCU (Digital Crimes Unit) de Microsoft
Simuler des violations réelles
Tests d intrusion de site en
conditions réelles
Journalisation et surveillance
centralisées de la sécurité
Exercices de réponse aux
incidents de sécurité
En savoir plus...En savoir plus...
© 2016 Microsoft Corporation. Tous droits réservés. Pour envoyer vos commentaires sur cette documentation, merci de nous écri re à l adresse [email protected].© 2016 Microsoft Corporation. Tous droits réservés. Pour envoyer vos commentaires sur cette documentation, merci de nous écri re à l adresse [email protected].
Sécurité du centre de données physique
Les centres de données sont physiquement construits, gérés
et surveillés pour protéger les données et services contre
tout accès non autorisé, ainsi que contre les menaces
environnementales.
Sécurité physique surveillée 24/24 h
Lorsque des clients suppriment des données ou quittent un service,
ils peuvent emporter leurs données avec eux et demander leur
suppression définitive des serveurs de Microsoft. Microsoft
applique des normes strictes en matière de réécriture des
ressources de stockage avant leur réutilisation, ainsi que de
destruction physique du matériel désaffecté. Le matériel et les
lecteurs défectueux sont démagnétisés et détruits.
Destruction des données
Microsoft applique une stratégie d accès non permanent
aux données client. Nous avons conçu nos produits de
façon à ce qu une majorité d opérations de service soient
entièrement automatisées, et à ce que seul un petit
nombre d activités requièrent une intervention humaine.
L accès aux données est accordé au personnel de Microsoft
uniquement s il est nécessaire pour le support technique
ou la conduite d opérations. L accès est soigneusement
géré et journalisé, puis révoqué quand il n est plus
nécessaire. L accès du centre de données aux systèmes qui
stockent des données client est strictement contrôlé via
des processus de zone de verrouillage.
Zéro privilège permanent
Équipe rouge de
Microsoft Enterprise
Cloud
En savoir plus...
Équipe rouge de
Microsoft Enterprise
Cloud
En savoir plus...
Sécurité,
confidentialité et
conformité dans
Microsoft Azure
En savoir plus...
Sécurité,
confidentialité et
conformité dans
Microsoft Azure
En savoir plus...
Sécurité
opérationnelle des
services en ligne
(OSA)
En savoir plus...
Sécurité
opérationnelle des
services en ligne
(OSA)
En savoir plus...
En savoir plus . . .
Rapport des
demandes
d application des
lois
En savoir plus . . .
Rapport des
demandes
d application des
lois
Août 2016
Nous n utilisons pas les données client à des fins étrangères à
la fourniture du service, telles que la publicité. Nous avons une
stratégie d accès non permanent. L accès aux données client
par le personnel de Microsoft est limité, accordé uniquement
s il est nécessaire pour le support technique ou la conduite des
opérations, puis révoqué lorsqu il n est plus nécessaire.
Le Cyber Defense Operations Center (centre des opérations de
cyberdéfense) de Microsoft est service de cybersécurité et de défense
opérationnel en permanence, qui réunit nos experts en sécurité et des
chercheurs spécialisés en traitement de données dans un emplacement
centralisé. Des outils logiciels avancés et l analytique en temps réel nous
aident à détecter et à traiter les menaces pesant sur l infrastructure cloud,
les produits, les appareils et les ressources internes de Microsoft.
Microsoft Cyber Defense Operations Center
Vidéo : centre(s) de données
Azure du Microsoft Cloud –
Visite guidée de l intérieur
Vidéo : centre(s) de données
Azure du Microsoft Cloud –
Visite guidée de l intérieur
En savoir plus...
Vidéo : centre(s) de données
Azure du Microsoft Cloud –
Visite guidée de l intérieur
En savoir plus...
Tout ce que les architectes informatiques doivent
savoir sur la sécurité et la confiance dans les
plateformes et services Microsoft Cloud.
1 2 3 4 51 2 3 4 5Rubrique 3 sur 5
Sécurité Microsoft Cloud
pour Enterprise
Architects
2. Contrôle administratif : défendre contre la perte de contrôle de vos services cloud et systèmes locaux
1. Stratégie de sécurité, gouvernance et opérationnalisation : fournir une vision, des normes et des instructions claires pour votre organisation
Feuille de route et responsabilités du client
A. Développer des stratégies de sécurité
dans le cloud
B. Gérer les menaces continues D. Contenir le risque en présumant la
violation
D. Utiliser des comptes Administrateur et
des stations de travail dédiés
C. Utiliser une authentification forteA. Modèle d administration du moindre
privilège
Surveillez étroitement l utilisation et les activités
des comptes d administration. Configurez des
alertes pour les activités qui ont un impact élevé
ainsi que les activités rares ou inhabituelles.
F. Surveiller les comptes Administrateur
3. Données : identifier et protéger vos informations les plus importantes
C. Rechercher et protégez les ressources sensibles
La première étape de la protection des informations
consiste à identifier celles qu il faut protéger.
Développez des instructions claires, simples et bien
communiquées pour identifier, protéger et surveiller
les ressources de données les plus importantes,
indépendamment de l emplacement où elles se
trouvent.
A. Fixer des priorités en matière de protection des
informations
4. Identité des utilisateurs et sécurité des appareils : renforcer la protection des comptes et des appareils
C. Éduquer, responsabiliser et mobiliser
les utilisateurs
L une des méthodes plus fiables pour détecter
des abus de privilèges, de comptes ou de
données consiste à détecter les activités
anormales des comptes.
Identifiez les activités normales et
physiquement possibles. Alertez concernant
toute activité inhabituelle pour permettre
une investigation et une réponse rapides.
Pour les comptes dans Azure Active
Directory, utilisez l analytique intégrée pour
détecter toute activité inhabituelle.
D. Surveiller les abus de compte et
d informations d identification
A. Utiliser une authentification forte
Cloud privé
8. Environnements cloud privés ou locaux : sécuriser la base
Azure Multi-Factor AuthenticationAzure Multi-Factor Authentication
Rapports Office 365Rapports Office 365
Empreintes numériques sur les documentsEmpreintes numériques sur les documents
Chiffrement dans Office 365Chiffrement dans Office 365
Services AD RMS (Active Directory Rights
Management Services)
Services AD RMS (Active Directory Rights
Management Services)
Azure Rights ManagementAzure Rights Management
Pour plus d informations sur la manière dont les
centres de données Azure sont sécurisés, voir :
Cloud de confiance : sécurité, confidentialité
et conformité de Microsoft Azure
Pour plus d informations sur la manière dont les
centres de données Azure sont sécurisés, voir :
Cloud de confiance : sécurité, confidentialité
et conformité de Microsoft Azure
Boîte à outils de classification des donnéesBoîte à outils de classification des données
Adopter une approche systématique de la sécurité en local et dans le cloud
Si Microsoft s engage à assurer la confidentialité et la sécurité des données et applications dans le cloud, les clients doivent jouer un rôle actif dans le partenariat de sécurité. L évolution constante des menaces à la cybersécurité augmente la nécessité de mettre en place une sécurité rigoureuse et des règles à tous les niveaux pour la protection des ressources tant en local et que dans le cloud. Les organisations sont plus à même de gérer et résoudre les questions de sécurité dans le cloud quand elles adoptent une approche systématique.
La migration des charges de travail dans le cloud a pour effet de transférer à Microsoft de nombreuses responsabilités de sécurité et leurs coûts associés, ainsi que de libérer vos ressources de sécurité de sorte qu elles puissent se concentrer sur les aspects essentiels liés aux données, aux identités, à la stratégie et à la gouvernance.
Les stratégies vous permettent d ajuster vos
contrôles de sécurité aux objectifs, aux risques et à
la culture de votre organisation. Les stratégies
doivent fournir des directives claires, sans
équivoque pour permettre à tous les spécialistes de
prendre de bonnes décisions.
Documentez les stratégies de sécurité de
façon suffisamment détaillée pour guider le
personnel vers des décisions rapides et précises,
tout en adoptant et en gérant les services cloud.
Assurez-vous de disposer de suffisamment de
détails sur les aspects de stratégie bien connus
et revêtant une importance critique pour votre
posture de sécurité.
Équilibrer sécurité et opérabilité. Des contrôles
de sécurité entravant à l excès la possibilité pour
les administrateurs et les utilisateurs d accomplir
leurs tâches seront contournés. Obtenez
l adhésion des utilisateurs par l éducation à la
menace et l inclusion dans le processus de
conception de la sécurité.
Documentez les protocoles et les processus
pour l exécution de tâches de sécurité
extrêmement importantes, telles que l utilisation
d informations d identification d administration,
la réponse à des événements de sécurité
courants, et la récupération suite à des incidents
de sécurité significatifs.
Adopter l « informatique fantôme ». Identifiez
l utilisation non gérée des appareils, des services
cloud et des applications. Identifiez les besoins
métier qui ont mené à leur utilisation, ainsi que
le risque auquel ils exposent l entreprise. Utilisez
des groupes professionnels pour activer les
fonctionnalités requises tout en atténuant les
risques.
E. Mettre en place une stratégie pour les
utilisateurs et leur formation
Les utilisateurs jouent un rôle essentiel dans la
sécurité des informations, et doivent être formés à
vos stratégies et normes concernant les aspects de
la sécurité liés à la création, à la classification, à la
conformité, au partage, à la protection et à la
surveillance des données.
© 2016 Microsoft Corporation. Tous droits réservés. Pour envoyer vos commentaires sur cette documentation, merci de nous écri re à l adresse [email protected].© 2016 Microsoft Corporation. Tous droits réservés. Pour envoyer vos commentaires sur cette documentation, merci de nous écri re à l adresse [email protected].
Plus d informations
Sécurisez les réseaux que vous installez et
exploitez dans vos centres de données. Suivez les
instructions et principes énoncés dans la section
Système d exploitation et intergiciels (ci-dessus).
Les comptes utilisés pour gérer la structure ont
le contrôle technique de celle-ci. Ils constituent
donc une dépendance de sécurité pour la
structure et tous les services hébergés sur celle-
ci. Ceux-ci incluent les comptes locaux et de
domaine disposant de privilèges
d administration sur les systèmes suivants:
Domaines Active Directory auxquels des
ressources de la structure sont jointes
Systèmes d exploitation hôtes de virtualisation
Outils de gestion de la structure
Pour ces ressources, suivez les instructions de
sécurité énoncées dans la section Privilèges et
identités d administration (ci-dessus).
Le microprogramme, logiciel incorporé dans le
matériel de la structure, est une dépendance de
sécurité des services cloud et un vecteur
d attaque potentiel. Validez et renforcez ce
logiciel, notamment sur le plan des aspects
suivants:
Contrôleurs de gestion de la carte de base
(BMC) pour l accès à distance ou sans
présence humaine au matériel
Microprogramme de la carte mère du serveur
Microprogramme de la carte d interface
Microprogramme/logiciel de l appliance
dédiée
Les garanties de sécurité des services locaux
dépendent de la sécurité des systèmes de stockage.
Ceux-ci incluent:
Outils de gestion du stockage
Groupes et comptes d administrateur de stockage
Stations de travail utilisées par les administrateurs
de stockage
Systèmes d exploitation et microprogrammes des
équipements de stockage
Sécurisez ces systèmes au moins au niveau requis
pour l ensemble des applications, identités, systèmes
d exploitation et données hébergés dessus.
Les garanties de sécurité de la structure dépendent
de l intégrité de la sécurité des logiciels et des outils
servant à les gérer. Il peut s agir notamment des
aspects suivants:
Gestion de la configuration
Gestion des opérations
Gestion de machine virtuelle
Sauvegarde
Sécurisez ces ressources au moins au niveau requis
pour les services et données hébergés sur la
structure.
D. Stockage G. Gestion de la structureA. Réseau physique
B. Identités de la structure et du centre
de données
C. Micrologiciel de serveur et d appareilF. Sécurité physique
Les machines virtuelles dépendent de la structure devirtualisation pour les garanties de sécurité. La structureinclut les éléments suivants:
Outils d administration de la virtualisation
Administrateurs de virtualisation
Stations de travail utilisées par ces administrateurs
Systèmes d exploitation d hôtes de machinesvirtuelles
Microprogramme sur le matériel hôte de machinesvirtuelles
Sécurisez ces systèmes au moins au niveau requis pour l ensemble des applications, identités, et donnéeshébergées sur la solution de virtualisation.
H. Solution de virtualisationE. Systèmes d exploitation et intergiciels
Les systèmes d exploitation et intergiciels installés sur
le matériel du serveur physique constituent une
dépendance de sécurité pour les services qui
s exécutent sur ceux-ci. Sécurisez ces ressources au
moins au niveau requis pour les services et données
hébergés sur la structure, en suivant les indications
énoncées dans la section Système d exploitation et
intergiciels (ci-dessus).
Les garanties de sécurité physique du matériel
hébergeant un service cloud doivent être au moins au
niveau requis pour l ensemble des applications,
données et identités hébergées. La sécurité physique
protège toutes les dépendances de sécurité,
notamment les éléments suivants:
Atériel de serveur
Équipements de stockage
Périphériques réseau
Stations de travail d administration
Supports d installation
Cartes à puce, jetons de mot de passe à usage
unique et mots de passe notés sur papier
TechEd 2014 : Gestion des accès privilégiés pour Active DirectoryTechEd 2014 : Gestion des accès privilégiés pour Active Directory
Livre blanc : Gestion de la sécurité dans Microsoft AzureLivre blanc : Gestion de la sécurité dans Microsoft Azure
Azure Key VaultAzure Key Vault
Livre blanc : Sécurité et gestion des journaux d audit deMicrosoft AzureLivre blanc : Sécurité et gestion des journaux d audit deMicrosoft Azure
Audit dans Office 365Audit dans Office 365
Informatique de confiance : gouvernance des donnéesInformatique de confiance : gouvernance des données
Livre blanc : Sécurité et gestion des journaux
d audit de Microsoft Azure
Livre blanc : Sécurité et gestion des journaux
d audit de Microsoft Azure
Audit dans Office 365Audit dans Office 365
Vue d ensemble de la sécurité opérationnelle
des services en ligne
Vue d ensemble de la sécurité opérationnelle
des services en ligne
Suite à la page suivante
Suite à la page suivante
Important : comment utiliser cette page
Cette page contient une liste méthodique d actions que Microsoft recommande
pour protéger vos données, identités et applications contre les menaces de
cybersécurité. Ces actions sont catégorisées et présentées sous la forme d une pile.
Les catégories en haut de la pile s appliquent à SaaS, PaaS, IaaS et au cloud privé.
L étendue des catégories diminue à mesure que vous descendez dans la pile.
SaaSSoftware as a Service
PaaSPlatform as a Service
IaaSInfrastructure as a Service
Cloud privéSaaSSoftware as a Service
PaaSPlatform as a Service
IaaSInfrastructure as a Service
Cloud privé
B. Suivre le Security Development
Lifecycle (SDL) Avant d acquérir des applications, examinez les
processus de développement et les pratiques
opérationnelles des fournisseurs dans une
perspective de sécurité. Intégrez cette tâche dans
votre processus d acquisition.
Suivez les instructions et recommandations du
fournisseur de l application concernant la
configuration de la sécurité.
Appliquez toutes les mises à jour de sécurité du
fournisseur aussi rapidement que vos besoins de
test le permettent. Assurez-vous que les intergiciels
et dépendances sont installés avec les applications.
Interrompez votre utilisation du logiciel avant
d atteindre la fin du support.
A. Sécuriser les applications que
vous acquérez
PaaSPlatform as a Service
IaaSInfrastructure as a Service
Cloud privé
5. Sécurité d application : s assurer que code de l application est résilient aux attaques
6. Réseau : garantir la connectivité, l isolement et la visibilité en cas de comportement anormal
Assurez-vous que votre architecture réseau est prête
pour le cloud en mettant à jour votre approche
actuelle ou en profitant de l occasion pour prendre un
nouveau départ avec une stratégie moderne pour les
services et plateformes cloud. Adaptez votre stratégie
de réseau aux aspects suivants:
Stratégie et gouvernance de sécurité globale
Modèle de confinement et stratégie d identité
Fonctionnalités et contraintes des services cloud
Votre conception doit contribuer à la sécurisation des
communications:
Entrantes en provenance d Internet
Entre machines virtuelles dans un abonnement
Entre abonnements
Vers les réseaux locaux et en provenance de ceux-ci
À partir d hôtes d administration à distance
A. Mettre à jour votre stratégie de sécurité
réseau et votre architecture de cloud
computing
Assurez-vous que vos processus et capacités
technologiques permettent de distinguer des
anomalies et écarts dans les configurations et modèles
de flux de trafic du réseau. Le cloud computing utilise
des réseaux publics, ce qui permet une exploitation
rapide des erreurs de configuration qui doivent être
évitées ou rapidement détectées et corrigées.
Surveillez étroitement les exceptions et alertez à leur
sujet.
Implémentez des moyens automatisés pour vous
assurer que votre configuration réseau reste
correcte et que les modèles de trafic inhabituels
soient détectés.
C. Gérer et surveiller la sécurité du réseau
Le cloud computing offre des capacités réseau
extraordinairement flexibles, car les topologies sont
définies dans les logiciels. Évaluez l utilisation de
ces capacités cloud modernes pour améliorer la
vérifiabilité, la détectabilité et la flexibilité
opérationnelle de votre sécurité réseau.
B. Optimiser avec capacités cloud
Les applications logicielles contenant du code source
que vous développez ou contrôlez constituent une
surface d attaque potentielle. Celles-ci incluent les
applications, les applications PaaS créées à partir d un
exemple de code dans Azure (tels les sites WordPress),
et les applications qui s interfacent avec Office 365.
Pour réduire les vulnérabilités et leur impact sur la
sécurité, suivez les meilleures pratiques en matière de
sécurité du code préconisées par le Microsoft Security
Development Lifecycle (SDL).
Voir : www.microsoft.com/sdl
Les applications logicielles contenant du code source
que vous développez ou contrôlez constituent une
surface d attaque potentielle. Celles-ci incluent les
applications, les applications PaaS créées à partir d un
exemple de code dans Azure (tels les sites WordPress),
et les applications qui s interfacent avec Office 365.
Pour réduire les vulnérabilités et leur impact sur la
sécurité, suivez les meilleures pratiques en matière de
sécurité du code préconisées par le Microsoft Security
Development Lifecycle (SDL).
Voir : www.microsoft.com/sdl
Livre blanc : Sécurité réseau de Microsoft AzureLivre blanc : Sécurité réseau de Microsoft Azure
IaaS
Infrastructure as a Service
Cloud privé
A. Système d exploitation virtuel
7. Système d exploitation et intergiciels : protéger l intégrité des hôtes
B. Outils de gestion de système d exploitation virtuel
Sécurisez le système d exploitation (SE) de l hôte virtuel et les intergiciels
s exécutant sur des machines virtuelles. Assurez-vous que tous les aspects de la
sécurité du système d exploitation et des intergiciels sont au moins au niveau requis
pour l hôte, notamment:
Privilèges administratifs et pratiques
Mises à jour logicielles pour le système d exploitation et les intergiciels
Ligne de base de la configuration de la sécurité
Utilisation d objets de stratégie de groupe (GPO)
Médias et méthodes d installation
Utilisation de tâches planifiées
Protection contre les programmes malveillants et détection/prévention des
intrusions
Configurations d IPsec et de pare-feu d hôte
Configuration et surveillance du journal des événements
Les outils de gestion système ont le contrôle technique complet des systèmes
d exploitation hôtes (dont les applications, les données et les identités), qui en font
une dépendance de sécurité pour le service cloud. Sécurisez ces outils au moins au
niveau des systèmes qu ils gèrent. Ces outils incluent généralement les éléments
suivants:
Gestion de la configuration
Gestion et surveillance des opérations
Sauvegarde
Gestion des mises à jour et correctifs de sécurité
L évolution des menaces à la sécurité et les
changements nécessitent des capacités
opérationnelles complètes et des ajustements
constants. Gérez ce risque de façon proactive.
Mettez en place les capacités
opérationnelles nécessaires pour surveiller les
alertes, enquêter sur les incidents, lancer des
actions correctives et intégrer les
enseignements tirés.
Créez un contexte externe des menaces en
utilisant les ressources disponibles, telles que
les flux d intelligence des menaces, les centres
d analyse et de partage d informations (ISAC) et
d autres moyens.
Validez votre posture de sécurité en faisant
appel à une équipe rouge autorisée ou en
organisant une activité de test d intrusion.
Livre blanc : Équipe rouge de Microsoft Enterprise CloudLivre blanc : Équipe rouge de Microsoft Enterprise Cloud
Livre blanc : Adversaires déterminés et attaques ciblées Livre blanc : Adversaires déterminés et attaques ciblées
C. Gérer l innovation continue
Le rythme des publications et mises à jour de
fonctionnalités à partir des services cloud requiert
une gestion proactive des impacts potentiels sur la
sécurité.
Définissez une cadence mensuelle pour
l examen et l intégration des mises à jour des
fonctionnalités cloud, des exigences
réglementaires et de conformité, des menaces en
constante évolution et des objectifs
organisationnels.
Évitez toute dérive de configuration avec des
examens périodiques pour vous assurer que les
technologies, configurations et pratiques
opérationnelles restent conformes aux stratégies
et protocoles.
Lorsque vous planifiez des contrôles de sécurité
et des processus de réponse de sécurité,
présumez qu un attaquant aura compromis
d autres ressources internes telles que des
comptes utilisateur, des stations de travail et des
applications. Présumez qu un pirate utilisera ces
ressources en tant que plateforme d attaque.
Modernisez votre stratégie de confinement en
prenant les dispositions suivantes:
Identification de vos ressources les plus
critiques, telles que les données, applications
et dépendances stratégiques. La sécurité de
celles-ci doit être à un niveau supérieur, sans
compromettre l opérabilité.
Amélioration de l isolement entre les zones
de sécurité en renforçant la rigueur de la
gestion des exceptions. Appliquez les
techniques de modélisation des menaces à
toutes les exceptions autorisées, et analyses
de ces flux de données d application, dont les
identités utilisées, les données transmises, la
fiabilité des applications et des plateformes, et
la capacité à inspecter les interactions.
Concentrez le confinement à l intérieur
d une zone de sécurité sur la préservation de
l intégrité du modèle d administration, plutôt
que sur un isolement du réseau.
Appliquez des approches de « privilège minimum »
à votre modèle d administration, notamment:
Limitez le nombre d administrateurs ou de
membres des groupes privilégiés.
Déléguez moins des privilèges aux comptes.
Fournissez les privilèges à la demande.
Demandez aux administrateurs existants
d effectuer les tâches au lieu d ajouter des
administrateurs.
Fixez des processus pour l accès d urgence et les
scénarios d utilisation rare.
Les dépendances de sécurité incluent tout
élément ayant le contrôle administratif d une
ressource. Veillez à renforcer toutes les
dépendances au moins au niveau de sécurité des
ressources qu elles contrôlent. Les dépendances
de sécurité pour les services cloud incluent
généralement les systèmes d identité, les outils
de gestion locaux, les groupes et les comptes
administratifs, et les stations de travail
auxquelles ces comptes se connectent.
B. Renforcer les dépendances de sécurité
Microsoft Advanced Threat AnalyticsMicrosoft Advanced Threat Analytics
Utilisez des informations d identification
sécurisées par matériel ou Multi-Factor
Authentication (MFA) pour toutes les identités
disposant de privilèges administratifs. Cela
permet d atténuer les risques liés à l utilisation
d informations d identification volées pour
abuser de comptes privilégiés.
Utilisez des informations d identification
sécurisées par matériel ou Multi-Factor
Authentication (MFA) pour toutes les identités
disposant de privilèges administratifs. Cela
permet d atténuer les risques liés à l utilisation
d informations d identification volées pour
abuser de comptes privilégiés.
Isolez les ressources à impact élevé des risques
très répandus liés à la navigation sur Internet et
au courrier électronique:
Utilisez des comptes dédiés pour les rôles
d administrateur privilégié pour les services
cloud et les dépendances locales.
Utilisez des stations de travail dédiées, à la
sécurisation renforcée pour l administration
des ressources informatiques ayant un impact
élevé sur l activité.
N utilisez pas de comptes aux privilèges élevés
sur des appareils utilisés pour la messagerie
électronique et la navigation sur le web.
E. Appliquer des normes de sécurité
rigoureuses
Les administrateurs contrôlent des quantités importantes de ressources de l organisation. Effectuezdes mesures rigoureuses et appliquez des normes desécurité strictes aux comptes et systèmes d administration. Ceux-ci incluent les services cloud et des dépendances locales telles que Active Directory, les systèmes d identité, les outils de gestion, les outils de sécurité, les stations de travail d administration et les systèmes d exploitation associés.
G. Éduquer et responsabiliser les
administrateursFormez les membres du personnel chargé de
l administration aux menaces probables et à leur
rôle essentiel dans la protection de leurs
informations d identification et des données clés
de l organisation. Les administrateurs sont les
gardiens de l accès à bon nombre de vos
ressources critiques. En leur prodiguant ce savoir,
vous leur permettez de mieux veiller sur vos
ressources et servir votre posture de sécurité.
B. Protéger les ressources de grande valeur
Définissez le niveau de protection le plus élevé pour les
ressources qui ont un impact disproportionné sur la
mission ou la rentabilité de l organisation. Effectuez une
analyse stricte du cycle de vie des ressources de grande
valeur et des dépendances de sécurité, et mettez en
place les conditions et contrôles de sécurité appropriés.
Identifiez et classez les ressources sensibles.
Définissez les technologies et processus
permettant d appliquer automatiquement des
contrôles de sécurité.
D. Définir des normes organisationnelles minimales
Établissez des normes minimales pour les appareils
approuvés et les comptes accédant aux ressources de
données appartenant à l organisation. Il peut s agir de
la conformité de configuration des appareils, de la
réinitialisation à distance de ceux-ci, des
fonctionnalités de protection des données
d entreprise, de la puissance de l authentification des
utilisateurs et de l identité des utilisateurs.
Protection des données dans Windows 10 EntrepriseProtection des données dans Windows 10 Entreprise
Gérer l accès au courrier électronique et à
SharePoint avec Microsoft Intune
Gérer l accès au courrier électronique et à
SharePoint avec Microsoft Intune
Utilisez des informations d identification sécurisées par
matériel ou Multi-Factor Authentication (MFA) pour
toutes les identités, afin d atténuer le risque que des
informations d identification volées puissent être
utilisées pour violer des comptes.
Identités des utilisateurs hébergées dans Azure
Active Directory (AD Azure).
Comptes locaux dont l authentification est fédérée à
partir d un Active Directory local.
Azure Multi-Factor AuthenticationAzure Multi-Factor Authentication
Microsoft Passport et Windows HelloMicrosoft Passport et Windows Hello
B. Gérer les appareils approuvés et
conformes
Gérer les stratégies de conformité d appareil pour
Intune Microsoft
Gérer les stratégies de conformité d appareil pour
Intune Microsoft
Microsoft Security Compliance Manager (SCM)Microsoft Security Compliance Manager (SCM)
Établissez, mesurez et appliquez des normes de
sécurité modernes aux appareils utilisés pour
accéder aux données et ressources d entreprise.
Appliquez des normes de configuration et installez
rapidement les mises à jour de sécurité pour réduire
le risque que des appareils compromis puissent être
utilisés pour consulter ou falsifier des données.
Enhanced Mitigation Experience Toolkit (EMET)Enhanced Mitigation Experience Toolkit (EMET)
Les utilisateurs contrôlent leurs propres comptes
et se trouvent en première ligne de la protection
de bon nombre de vos ressources critiques.
Offrez à vos utilisateurs la possibilité de veiller
correctement sur vos données
organisationnelles et personnelles. En même
temps, comprenez que les activités et erreurs
des utilisateurs comportent des risques pour la
sécurité, qui peuvent être atténués, mais jamais
totalement écartés. Concentrez-vous sur la
mesure et la réduction des risques auxquels
exposent les utilisateurs.
Formez les utilisateurs aux menaces probables
et à leur rôle dans la protection des données
métier.
Augmentez le coût pour l adversaire de la
compromission des comptes utilisateur.
Explorez la ludification et d autres moyens
d augmenter l engagement des utilisateurs.
Suite à la page suivante
Août 2016
Services de cloud computing Microsoft et sécurité réseauServices de cloud computing Microsoft et sécurité réseau
Blog sur la sécurité de Microsoft AzureBlog sur la sécurité de Microsoft Azure
Sécurisation des accès privilégiésSécurisation des accès privilégiés
Authentification des identités sans mot de passe via Microsoft PassportAuthentification des identités sans mot de passe via Microsoft Passport
Sécurisation des accès privilégiésSécurisation des accès privilégiés
Protection des informations pour Office 365Protection des informations pour Office 365
Vue d ensemble des stratégies de
protection contre la perte de données
Vue d ensemble des stratégies de
protection contre la perte de données
Always Encrypted (Moteur de base de données)Always Encrypted (Moteur de base de données)
http://www.microsoft.com/trustcenter
Centre de gestion de la
confidentialité Microsoft
http://www.microsoft.com/trustcenter
Centre de gestion de la
confidentialité Microsoft
SaaSSoftware as a Service
PaaSPlatform as a Service
IaaSInfrastructure as a Service
Cloud privéSaaSSoftware as a Service
PaaSPlatform as a Service
IaaSInfrastructure as a Service
Cloud privé
Tout ce que les architectes informatiques doivent
savoir sur la sécurité et la confiance dans les
plateformes et services Microsoft Cloud.
1 2 3 4 51 2 3 4 5Rubrique 4 sur 5
Sécurité Microsoft Cloud
pour Enterprise
Architects
Meilleures pratiques et modèles de sécurité AzureMeilleures pratiques et modèles de sécurité Azure
Meilleures pratiques et modèles de sécurité AzureMeilleures pratiques et modèles de sécurité Azure
2. Contrôle administratif : défendre contre la perte de contrôle de vos services cloud et systèmes locaux
1. Stratégie de sécurité, gouvernance et opérationnalisation : fournir une vision, des normes et des instructions claires pour votre organisation
Feuille de route et responsabilités du client
A. Développer des stratégies de sécurité
dans le cloud
B. Gérer les menaces continues D. Contenir le risque en présumant la
violation
D. Utiliser des comptes Administrateur et
des stations de travail dédiés
C. Utiliser une authentification forteA. Modèle d administration du moindre
privilège
Surveillez étroitement l utilisation et les activités
des comptes d administration. Configurez des
alertes pour les activités qui ont un impact élevé
ainsi que les activités rares ou inhabituelles.
F. Surveiller les comptes Administrateur
3. Données : identifier et protéger vos informations les plus importantes
C. Rechercher et protégez les ressources sensibles
La première étape de la protection des informations
consiste à identifier celles qu il faut protéger.
Développez des instructions claires, simples et bien
communiquées pour identifier, protéger et surveiller
les ressources de données les plus importantes,
indépendamment de l emplacement où elles se
trouvent.
A. Fixer des priorités en matière de protection des
informations
4. Identité des utilisateurs et sécurité des appareils : renforcer la protection des comptes et des appareils
C. Éduquer, responsabiliser et mobiliser
les utilisateurs
L une des méthodes plus fiables pour détecter
des abus de privilèges, de comptes ou de
données consiste à détecter les activités
anormales des comptes.
Identifiez les activités normales et
physiquement possibles. Alertez concernant
toute activité inhabituelle pour permettre
une investigation et une réponse rapides.
Pour les comptes dans Azure Active
Directory, utilisez l analytique intégrée pour
détecter toute activité inhabituelle.
D. Surveiller les abus de compte et
d informations d identification
A. Utiliser une authentification forte
Cloud privé
8. Environnements cloud privés ou locaux : sécuriser la base
Azure Multi-Factor AuthenticationAzure Multi-Factor Authentication
Rapports Office 365Rapports Office 365
Empreintes numériques sur les documentsEmpreintes numériques sur les documents
Chiffrement dans Office 365Chiffrement dans Office 365
Services AD RMS (Active Directory Rights
Management Services)
Services AD RMS (Active Directory Rights
Management Services)
Azure Rights ManagementAzure Rights Management
Pour plus d informations sur la manière dont les
centres de données Azure sont sécurisés, voir :
Cloud de confiance : sécurité, confidentialité
et conformité de Microsoft Azure
Pour plus d informations sur la manière dont les
centres de données Azure sont sécurisés, voir :
Cloud de confiance : sécurité, confidentialité
et conformité de Microsoft Azure
Boîte à outils de classification des donnéesBoîte à outils de classification des données
Adopter une approche systématique de la sécurité en local et dans le cloud
Si Microsoft s engage à assurer la confidentialité et la sécurité des données et applications dans le cloud, les clients doivent jouer un rôle actif dans lepartenariat de sécurité. L évolution constante des menaces à la cybersécuritéaugmente la nécessité de mettre en place une sécurité rigoureuse et des règles à tous les niveaux pour la protection des ressources tant en local et que dans le cloud. Les organisations sont plus à même de gérer et résoudre les questionsde sécurité dans le cloud quand elles adoptent une approche systématique.
La migration des charges de travail dans le cloud a pour effet de transférer à Microsoft de nombreuses responsabilités de sécurité et leurs coûts associés, ainsi que de libérer vos ressources de sécurité de sorte qu elles puissent se concentrer sur les aspects essentiels liés aux données, aux identités, à lastratégie et à la gouvernance.
Les stratégies vous permettent d ajuster vos
contrôles de sécurité aux objectifs, aux risques et à
la culture de votre organisation. Les stratégies
doivent fournir des directives claires, sans
équivoque pour permettre à tous les spécialistes de
prendre de bonnes décisions.
Documentez les stratégies de sécurité de
façon suffisamment détaillée pour guider le
personnel vers des décisions rapides et précises,
tout en adoptant et en gérant les services cloud.
Assurez-vous de disposer de suffisamment de
détails sur les aspects de stratégie bien connus
et revêtant une importance critique pour votre
posture de sécurité.
Équilibrer sécurité et opérabilité. Des contrôles
de sécurité entravant à l excès la possibilité pour
les administrateurs et les utilisateurs d accomplir
leurs tâches seront contournés. Obtenez
l adhésion des utilisateurs par l éducation à la
menace et l inclusion dans le processus de
conception de la sécurité.
Documentez les protocoles et les processus
pour l exécution de tâches de sécurité
extrêmement importantes, telles que l utilisation
d informations d identification d administration,
la réponse à des événements de sécurité
courants, et la récupération suite à des incidents
de sécurité significatifs.
Adopter l « informatique fantôme ». Identifiez
l utilisation non gérée des appareils, des services
cloud et des applications. Identifiez les besoins
métier qui ont mené à leur utilisation, ainsi que
le risque auquel ils exposent l entreprise. Utilisez
des groupes professionnels pour activer les
fonctionnalités requises tout en atténuant les
risques.
E. Mettre en place une stratégie pour les
utilisateurs et leur formation
Les utilisateurs jouent un rôle essentiel dans la
sécurité des informations, et doivent être formés à
vos stratégies et normes concernant les aspects de
la sécurité liés à la création, à la classification, à la
conformité, au partage, à la protection et à la
surveillance des données.
© 2016 Microsoft Corporation. Tous droits réservés. Pour envoyer vos commentaires sur cette documentation, merci de nous écri re à l adresse [email protected].© 2016 Microsoft Corporation. Tous droits réservés. Pour envoyer vos commentaires sur cette documentation, merci de nous écri re à l adresse [email protected].
Plus d informations
Sécurisez les réseaux que vous installez et
exploitez dans vos centres de données. Suivez les
instructions et principes énoncés dans la section
Système d exploitation et intergiciels (ci-dessus).
Les comptes utilisés pour gérer la structure ont
le contrôle technique de celle-ci. Ils constituent
donc une dépendance de sécurité pour la
structure et tous les services hébergés sur celle-
ci. Ceux-ci incluent les comptes locaux et de
domaine disposant de privilèges
d administration sur les systèmes suivants:
Domaines Active Directory auxquels des
ressources de la structure sont jointes
Systèmes d exploitation hôtes de virtualisation
Outils de gestion de la structure
Pour ces ressources, suivez les instructions de
sécurité énoncées dans la section Privilèges et
identités d administration (ci-dessus).
Le microprogramme, logiciel incorporé dans le
matériel de la structure, est une dépendance de
sécurité des services cloud et un vecteur
d attaque potentiel. Validez et renforcez ce
logiciel, notamment sur le plan des aspects
suivants:
Contrôleurs de gestion de la carte de base
(BMC) pour l accès à distance ou sans
présence humaine au matériel
Microprogramme de la carte mère du serveur
Microprogramme de la carte d interface
Microprogramme/logiciel de l appliance
dédiée
Les garanties de sécurité des services locaux
dépendent de la sécurité des systèmes de stockage.
Ceux-ci incluent:
Outils de gestion du stockage
Groupes et comptes d administrateur de stockage
Stations de travail utilisées par les administrateurs
de stockage
Systèmes d exploitation et microprogrammes des
équipements de stockage
Sécurisez ces systèmes au moins au niveau requis
pour l ensemble des applications, identités, systèmes
d exploitation et données hébergés dessus.
Les garanties de sécurité de la structure dépendent
de l intégrité de la sécurité des logiciels et des outils
servant à les gérer. Il peut s agir notamment des
aspects suivants:
Gestion de la configuration
Gestion des opérations
Gestion de machine virtuelle
Sauvegarde
Sécurisez ces ressources au moins au niveau requis
pour les services et données hébergés sur la
structure.
D. Stockage G. Gestion de la structureA. Réseau physique
B. Identités de la structure et du centre
de données
C. Micrologiciel de serveur et d appareilF. Sécurité physique
Les machines virtuelles dépendent de la structure devirtualisation pour les garanties de sécurité. La structureinclut les éléments suivants:
Outils d administration de la virtualisation
Administrateurs de virtualisation
Stations de travail utilisées par ces administrateurs
Systèmes d exploitation d hôtes de machinesvirtuelles
Microprogramme sur le matériel hôte de machinesvirtuelles
Sécurisez ces systèmes au moins au niveau requis pour l ensemble des applications, identités, et donnéeshébergées sur la solution de virtualisation.
H. Solution de virtualisationE. Systèmes d exploitation et intergiciels
Les systèmes d exploitation et intergiciels installés sur
le matériel du serveur physique constituent une
dépendance de sécurité pour les services qui
s exécutent sur ceux-ci. Sécurisez ces ressources au
moins au niveau requis pour les services et données
hébergés sur la structure, en suivant les indications
énoncées dans la section Système d exploitation et
intergiciels (ci-dessus).
Les garanties de sécurité physique du matériel
hébergeant un service cloud doivent être au moins au
niveau requis pour l ensemble des applications,
données et identités hébergées. La sécurité physique
protège toutes les dépendances de sécurité,
notamment les éléments suivants:
Atériel de serveur
Équipements de stockage
Périphériques réseau
Stations de travail d administration
Supports d installation
Cartes à puce, jetons de mot de passe à usage
unique et mots de passe notés sur papier
TechEd 2014 : Gestion des accès privilégiés pour Active DirectoryTechEd 2014 : Gestion des accès privilégiés pour Active Directory
Livre blanc : Gestion de la sécurité dans Microsoft AzureLivre blanc : Gestion de la sécurité dans Microsoft Azure
Azure Key VaultAzure Key Vault
Livre blanc : Sécurité et gestion des journaux d audit de Microsoft AzureLivre blanc : Sécurité et gestion des journaux d audit de Microsoft Azure
Audit dans Office 365Audit dans Office 365
Informatique de confiance : gouvernance des donnéesInformatique de confiance : gouvernance des données
Livre blanc : Sécurité et gestion des journaux
d audit de Microsoft Azure
Livre blanc : Sécurité et gestion des journaux
d audit de Microsoft Azure
Audit dans Office 365Audit dans Office 365
Vue d ensemble de la sécurité opérationnelle
des services en ligne
Vue d ensemble de la sécurité opérationnelle
des services en ligne
Suite à la page suivante
Suite à la page suivante
Important : comment utiliser cette page
Cette page contient une liste méthodique d actions que Microsoft recommande
pour protéger vos données, identités et applications contre les menaces de
cybersécurité. Ces actions sont catégorisées et présentées sous la forme d une pile.
Les catégories en haut de la pile s appliquent à SaaS, PaaS, IaaS et au cloud privé.
L étendue des catégories diminue à mesure que vous descendez dans la pile.
SaaSSoftware as a Service
PaaSPlatform as a Service
IaaSInfrastructure as a Service
Cloud privéSaaSSoftware as a Service
PaaSPlatform as a Service
IaaSInfrastructure as a Service
Cloud privé
B. Suivre le Security Development
Lifecycle (SDL) Avant d acquérir des applications, examinez les
processus de développement et les pratiques
opérationnelles des fournisseurs dans une
perspective de sécurité. Intégrez cette tâche dans
votre processus d acquisition.
Suivez les instructions et recommandations du
fournisseur de l application concernant la
configuration de la sécurité.
Appliquez toutes les mises à jour de sécurité du
fournisseur aussi rapidement que vos besoins de
test le permettent. Assurez-vous que les intergiciels
et dépendances sont installés avec les applications.
Interrompez votre utilisation du logiciel avant
d atteindre la fin du support.
A. Sécuriser les applications que
vous acquérez
PaPlatform as a Service
IaaSInfrastructure as a Service
Cloud privé
5. Sécurité d application : s assurer que code de l application est résilient aux attaques
6. Réseau : garantir la connectivité, l isolement et la visibilité en cas de comportement anormal
Assurez-vous que votre architecture réseau est prête
pour le cloud en mettant à jour votre approche
actuelle ou en profitant de l occasion pour prendre un
nouveau départ avec une stratégie moderne pour les
services et plateformes cloud. Adaptez votre stratégie
de réseau aux aspects suivants:
Stratégie et gouvernance de sécurité globale
Modèle de confinement et stratégie d identité
Fonctionnalités et contraintes des services cloud
Votre conception doit contribuer à la sécurisation des
communications:
Entrantes en provenance d Internet
Entre machines virtuelles dans un abonnement
Entre abonnements
Vers les réseaux locaux et en provenance de ceux-ci
À partir d hôtes d administration à distance
A. Mettre à jour votre stratégie de sécurité
réseau et votre architecture de cloud
computing
Assurez-vous que vos processus et capacités
technologiques permettent de distinguer des
anomalies et écarts dans les configurations et modèles
de flux de trafic du réseau. Le cloud computing utilise
des réseaux publics, ce qui permet une exploitation
rapide des erreurs de configuration qui doivent être
évitées ou rapidement détectées et corrigées.
Surveillez étroitement les exceptions et alertez à leur
sujet.
Implémentez des moyens automatisés pour vous
assurer que votre configuration réseau reste
correcte et que les modèles de trafic inhabituels
soient détectés.
C. Gérer et surveiller la sécurité du réseau
Le cloud computing offre des capacités réseau
extraordinairement flexibles, car les topologies sont
définies dans les logiciels. Évaluez l utilisation de
ces capacités cloud modernes pour améliorer la
vérifiabilité, la détectabilité et la flexibilité
opérationnelle de votre sécurité réseau.
B. Optimiser avec capacités cloud
Les applications logicielles contenant du code source
que vous développez ou contrôlez constituent une
surface d attaque potentielle. Celles-ci incluent les
applications, les applications PaaS créées à partir d un
exemple de code dans Azure (tels les sites WordPress),
et les applications qui s interfacent avec Office 365.
Pour réduire les vulnérabilités et leur impact sur la
sécurité, suivez les meilleures pratiques en matière de
sécurité du code préconisées par le Microsoft Security
Development Lifecycle (SDL).
Voir : www.microsoft.com/sdl
Les applications logicielles contenant du code source
que vous développez ou contrôlez constituent une
surface d attaque potentielle. Celles-ci incluent les
applications, les applications PaaS créées à partir d un
exemple de code dans Azure (tels les sites WordPress),
et les applications qui s interfacent avec Office 365.
Pour réduire les vulnérabilités et leur impact sur la
sécurité, suivez les meilleures pratiques en matière de
sécurité du code préconisées par le Microsoft Security
Development Lifecycle (SDL).
Voir : www.microsoft.com/sdl
Livre blanc : Sécurité réseau de Microsoft AzureLivre blanc : Sécurité réseau de Microsoft Azure
IaaS
Infrastructure as a Service
Cloud privé
A. Système d exploitation virtuel
7. Système d exploitation et intergiciels : protéger l intégrité des hôtes
B. Outils de gestion de système d exploitation virtuel
Sécurisez le système d exploitation (SE) de l hôte virtuel et les intergiciels
s exécutant sur des machines virtuelles. Assurez-vous que tous les aspects de la
sécurité du système d exploitation et des intergiciels sont au moins au niveau requis
pour l hôte, notamment:
Privilèges administratifs et pratiques
Mises à jour logicielles pour le système d exploitation et les intergiciels
Ligne de base de la configuration de la sécurité
Utilisation d objets de stratégie de groupe (GPO)
Médias et méthodes d installation
Utilisation de tâches planifiées
Protection contre les programmes malveillants et détection/prévention des
intrusions
Configurations d IPsec et de pare-feu d hôte
Configuration et surveillance du journal des événements
Les outils de gestion système ont le contrôle technique complet des systèmes
d exploitation hôtes (dont les applications, les données et les identités), qui en font
une dépendance de sécurité pour le service cloud. Sécurisez ces outils au moins au
niveau des systèmes qu ils gèrent. Ces outils incluent généralement les éléments
suivants:
Gestion de la configuration
Gestion et surveillance des opérations
Sauvegarde
Gestion des mises à jour et correctifs de sécurité
L évolution des menaces à la sécurité et les
changements nécessitent des capacités
opérationnelles complètes et des ajustements
constants. Gérez ce risque de façon proactive.
Mettez en place les capacités
opérationnelles nécessaires pour surveiller les
alertes, enquêter sur les incidents, lancer des
actions correctives et intégrer les
enseignements tirés.
Créez un contexte externe des menaces en
utilisant les ressources disponibles, telles que
les flux d intelligence des menaces, les centres
d analyse et de partage d informations (ISAC) et
d autres moyens.
Validez votre posture de sécurité en faisant
appel à une équipe rouge autorisée ou en
organisant une activité de test d intrusion.
Livre blanc : Équipe rouge de Microsoft Enterprise CloudLivre blanc : Équipe rouge de Microsoft Enterprise Cloud
Livre blanc : Adversaires déterminés et attaques cibléesLivre blanc : Adversaires déterminés et attaques ciblées
C. Gérer l innovation continue
Le rythme des publications et mises à jour de
fonctionnalités à partir des services cloud requiert
une gestion proactive des impacts potentiels sur la
sécurité.
Définissez une cadence mensuelle pour
l examen et l intégration des mises à jour des
fonctionnalités cloud, des exigences
réglementaires et de conformité, des menaces en
constante évolution et des objectifs
organisationnels.
Évitez toute dérive de configuration avec des
examens périodiques pour vous assurer que les
technologies, configurations et pratiques
opérationnelles restent conformes aux stratégies
et protocoles.
Lorsque vous planifiez des contrôles de sécurité
et des processus de réponse de sécurité,
présumez qu un attaquant aura compromis
d autres ressources internes telles que des
comptes utilisateur, des stations de travail et des
applications. Présumez qu un pirate utilisera ces
ressources en tant que plateforme d attaque.
Modernisez votre stratégie de confinement en
prenant les dispositions suivantes:
Identification de vos ressources les plus
critiques, telles que les données, applications
et dépendances stratégiques. La sécurité de
celles-ci doit être à un niveau supérieur, sans
compromettre l opérabilité.
Amélioration de l isolement entre les zones
de sécurité en renforçant la rigueur de la
gestion des exceptions. Appliquez les
techniques de modélisation des menaces à
toutes les exceptions autorisées, et analyses
de ces flux de données d application, dont les
identités utilisées, les données transmises, la
fiabilité des applications et des plateformes, et
la capacité à inspecter les interactions.
Concentrez le confinement à l intérieur
d une zone de sécurité sur la préservation de
l intégrité du modèle d administration, plutôt
que sur un isolement du réseau.
Appliquez des approches de « privilège minimum »
à votre modèle d administration, notamment:
Limitez le nombre d administrateurs ou de
membres des groupes privilégiés.
Déléguez moins des privilèges aux comptes.
Fournissez les privilèges à la demande.
Demandez aux administrateurs existants
d effectuer les tâches au lieu d ajouter des
administrateurs.
Fixez des processus pour l accès d urgence et les
scénarios d utilisation rare.
Les dépendances de sécurité incluent tout
élément ayant le contrôle administratif d une
ressource. Veillez à renforcer toutes les
dépendances au moins au niveau de sécurité des
ressources qu elles contrôlent. Les dépendances
de sécurité pour les services cloud incluent
généralement les systèmes d identité, les outils
de gestion locaux, les groupes et les comptes
administratifs, et les stations de travail
auxquelles ces comptes se connectent.
B. Renforcer les dépendances de sécurité
Microsoft Advanced Threat AnalyticsMicrosoft Advanced Threat Analytics
Utilisez des informations d identification
sécurisées par matériel ou Multi-Factor
Authentication (MFA) pour toutes les identités
disposant de privilèges administratifs. Cela
permet d atténuer les risques liés à l utilisation
d informations d identification volées pour
abuser de comptes privilégiés.
Utilisez des informations d identification
sécurisées par matériel ou Multi-Factor
Authentication (MFA) pour toutes les identités
disposant de privilèges administratifs. Cela
permet d atténuer les risques liés à l utilisation
d informations d identification volées pour
abuser de comptes privilégiés.
Isolez les ressources à impact élevé des risques
très répandus liés à la navigation sur Internet et
au courrier électronique:
Utilisez des comptes dédiés pour les rôles
d administrateur privilégié pour les services
cloud et les dépendances locales.
Utilisez des stations de travail dédiées, à la
sécurisation renforcée pour l administration
des ressources informatiques ayant un impact
élevé sur l activité.
N utilisez pas de comptes aux privilèges élevés
sur des appareils utilisés pour la messagerie
électronique et la navigation sur le web.
E. Appliquer des normes de sécurité
rigoureuses
Les administrateurs contrôlent des quantités importantes de ressources de l organisation. Effectuez des mesures rigoureuses et appliquez des normes de sécurité strictes aux comptes et systèmes d administration. Ceux-ci incluent les services cloud et des dépendances locales telles que Active Directory, les systèmes d identité, les outils de gestion, les outils de sécurité, les stations de travail d administration et les systèmes d exploitation associés.
G. Éduquer et responsabiliser les
administrateursFormez les membres du personnel chargé de
l administration aux menaces probables et à leur
rôle essentiel dans la protection de leurs
informations d identification et des données clés
de l organisation. Les administrateurs sont les
gardiens de l accès à bon nombre de vos
ressources critiques. En leur prodiguant ce savoir,
vous leur permettez de mieux veiller sur vos
ressources et servir votre posture de sécurité.
B. Protéger les ressources de grande valeur
Définissez le niveau de protection le plus élevé pour les
ressources qui ont un impact disproportionné sur la
mission ou la rentabilité de l organisation. Effectuez une
analyse stricte du cycle de vie des ressources de grande
valeur et des dépendances de sécurité, et mettez en
place les conditions et contrôles de sécurité appropriés.
Identifiez et classez les ressources sensibles.
Définissez les technologies et processus
permettant d appliquer automatiquement des
contrôles de sécurité.
D. Définir des normes organisationnelles minimales
Établissez des normes minimales pour les appareils
approuvés et les comptes accédant aux ressources de
données appartenant à l organisation. Il peut s agir de
la conformité de configuration des appareils, de la
réinitialisation à distance de ceux-ci, des
fonctionnalités de protection des données
d entreprise, de la puissance de l authentification des
utilisateurs et de l identité des utilisateurs.
Protection des données dans Windows 10 EntrepriseProtection des données dans Windows 10 Entreprise
Gérer l accès au courrier électronique et à
SharePoint avec Microsoft Intune
Gérer l accès au courrier électronique et à
SharePoint avec Microsoft Intune
Utilisez des informations d identification sécurisées par
matériel ou Multi-Factor Authentication (MFA) pour
toutes les identités, afin d atténuer le risque que des
informations d identification volées puissent être
utilisées pour violer des comptes.
Identités des utilisateurs hébergées dans Azure
Active Directory (AD Azure).
Comptes locaux dont l authentification est fédérée à
partir d un Active Directory local.
Azure Multi-Factor AuthenticationAzure Multi-Factor Authentication
Microsoft Passport et Windows HelloMicrosoft Passport et Windows Hello
B. Gérer les appareils approuvés et
conformes
Gérer les stratégies de conformité d appareil pour
Intune Microsoft
Gérer les stratégies de conformité d appareil pour
Intune Microsoft
Microsoft Security Compliance Manager (SCM)Microsoft Security Compliance Manager (SCM)
Établissez, mesurez et appliquez des normes de
sécurité modernes aux appareils utilisés pour
accéder aux données et ressources d entreprise.
Appliquez des normes de configuration et installez
rapidement les mises à jour de sécurité pour réduire
le risque que des appareils compromis puissent être
utilisés pour consulter ou falsifier des données.
Enhanced Mitigation Experience Toolkit (EMET)Enhanced Mitigation Experience Toolkit (EMET)
Les utilisateurs contrôlent leurs propres comptes
et se trouvent en première ligne de la protection
de bon nombre de vos ressources critiques.
Offrez à vos utilisateurs la possibilité de veiller
correctement sur vos données
organisationnelles et personnelles. En même
temps, comprenez que les activités et erreurs
des utilisateurs comportent des risques pour la
sécurité, qui peuvent être atténués, mais jamais
totalement écartés. Concentrez-vous sur la
mesure et la réduction des risques auxquels
exposent les utilisateurs.
Formez les utilisateurs aux menaces probables
et à leur rôle dans la protection des données
métier.
Augmentez le coût pour l adversaire de la
compromission des comptes utilisateur.
Explorez la ludification et d autres moyens
d augmenter l engagement des utilisateurs.
Suite à la page suivante
Août 2016
Services de cloud computing Microsoft et sécurité réseauServices de cloud computing Microsoft et sécurité réseau
Blog sur la sécurité de Microsoft AzureBlog sur la sécurité de Microsoft Azure
Sécurisation des accès privilégiésSécurisation des accès privilégiés
Authentification des identités sans mot de passe via Microsoft PassportAuthentification des identités sans mot de passe via Microsoft Passport
Sécurisation des accès privilégiésSécurisation des accès privilégiés
Protection des informations pour Office 365Protection des informations pour Office 365
Vue d ensemble des stratégies de
protection contre la perte de données
Vue d ensemble des stratégies de
protection contre la perte de données
Always Encrypted (Moteur de base de données)Always Encrypted (Moteur de base de données)
http://www.microsoft.com/trustcenter
Centre de gestion de la
confidentialité Microsoft
http://www.microsoft.com/trustcenter
Centre de gestion de la
confidentialité Microsoft
SaaSSoftware as a Service
PaaSPlatform as a Service
IaaSInfrastructure as a Service
Cloud privéSaaSSoftware as a Service
PaaSPlatform as a Service
IaaSInfrastructure as a Service
Cloud privé
Tout ce que les architectes informatiques doivent
savoir sur la sécurité et la confiance dans les
plateformes et services Microsoft Cloud.
1 2 3 4 51 2 3 4 5Rubrique 4 sur 5
Sécurité Microsoft Cloud
pour Enterprise
Architects
Meilleures pratiques et modèles de sécurité AzureMeilleures pratiques et modèles de sécurité Azure
Meilleures pratiques et modèles de sécurité AzureMeilleures pratiques et modèles de sécurité Azure
2. Contrôle administratif : défendre contre la perte de contrôle de vos services cloud et systèmes locaux
1. Stratégie de sécurité, gouvernance et opérationnalisation : fournir une vision, des normes et des instructions claires pour votre organisation
Feuille de route et responsabilités du client
A. Développer des stratégies de sécurité
dans le cloud
B. Gérer les menaces continues D. Contenir le risque en présumant la
violation
D. Utiliser des comptes Administrateur et
des stations de travail dédiés
C. Utiliser une authentification forteA. Modèle d administration du moindre
privilège
Surveillez étroitement l utilisation et les activités
des comptes d administration. Configurez des
alertes pour les activités qui ont un impact élevé
ainsi que les activités rares ou inhabituelles.
F. Surveiller les comptes Administrateur
3. Données : identifier et protéger vos informations les plus importantes
C. Rechercher et protégez les ressources sensibles
La première étape de la protection des informations
consiste à identifier celles qu il faut protéger.
Développez des instructions claires, simples et bien
communiquées pour identifier, protéger et surveiller
les ressources de données les plus importantes,
indépendamment de l emplacement où elles se
trouvent.
A. Fixer des priorités en matière de protection des
informations
4. Identité des utilisateurs et sécurité des appareils : renforcer la protection des comptes et des appareils
C. Éduquer, responsabiliser et mobiliser
les utilisateurs
L une des méthodes plus fiables pour détecter
des abus de privilèges, de comptes ou de
données consiste à détecter les activités
anormales des comptes.
Identifiez les activités normales et
physiquement possibles. Alertez concernant
toute activité inhabituelle pour permettre
une investigation et une réponse rapides.
Pour les comptes dans Azure Active
Directory, utilisez l analytique intégrée pour
détecter toute activité inhabituelle.
D. Surveiller les abus de compte et
d informations d identification
A. Utiliser une authentification forte
Cloud privé
8. Environnements cloud privés ou locaux : sécuriser la base
Azure Multi-Factor AuthenticationAzure Multi-Factor Authentication
Rapports Office 365Rapports Office 365
Empreintes numériques sur les documentsEmpreintes numériques sur les documents
Chiffrement dans Office 365Chiffrement dans Office 365
Services AD RMS (Active Directory Rights
Management Services)
Services AD RMS (Active Directory Rights
Management Services)
Azure Rights ManagementAzure Rights Management
Pour plus d informations sur la manière dont les
centres de données Azure sont sécurisés, voir :
Cloud de confiance : sécurité, confidentialité
et conformité de Microsoft Azure
Pour plus d informations sur la manière dont les
centres de données Azure sont sécurisés, voir :
Cloud de confiance : sécurité, confidentialité
et conformité de Microsoft Azure
Boîte à outils de classification des donnéesBoîte à outils de classification des données
Adopter une approche systématique de la sécurité en local et dans le cloud
Si Microsoft s engage à assurer la confidentialité et la sécurité des données et applications dans le cloud, les clients doivent jouer un rôle actif dans lepartenariat de sécurité. L évolution constante des menaces à la cybersécuritéaugmente la nécessité de mettre en place une sécurité rigoureuse et des règles à tous les niveaux pour la protection des ressources tant en local et que dans le cloud. Les organisations sont plus à même de gérer et résoudre les questionsde sécurité dans le cloud quand elles adoptent une approche systématique.
La migration des charges de travail dans le cloud a pour effet de transférer à Microsoft de nombreuses responsabilités de sécurité et leurs coûts associés, ainsi que de libérer vos ressources de sécurité de sorte qu elles puissent se concentrer sur les aspects essentiels liés aux données, aux identités, à lastratégie et à la gouvernance.
Les stratégies vous permettent d ajuster vos
contrôles de sécurité aux objectifs, aux risques et à
la culture de votre organisation. Les stratégies
doivent fournir des directives claires, sans
équivoque pour permettre à tous les spécialistes de
prendre de bonnes décisions.
Documentez les stratégies de sécurité de
façon suffisamment détaillée pour guider le
personnel vers des décisions rapides et précises,
tout en adoptant et en gérant les services cloud.
Assurez-vous de disposer de suffisamment de
détails sur les aspects de stratégie bien connus
et revêtant une importance critique pour votre
posture de sécurité.
Équilibrer sécurité et opérabilité. Des contrôles
de sécurité entravant à l excès la possibilité pour
les administrateurs et les utilisateurs d accomplir
leurs tâches seront contournés. Obtenez
l adhésion des utilisateurs par l éducation à la
menace et l inclusion dans le processus de
conception de la sécurité.
Documentez les protocoles et les processus
pour l exécution de tâches de sécurité
extrêmement importantes, telles que l utilisation
d informations d identification d administration,
la réponse à des événements de sécurité
courants, et la récupération suite à des incidents
de sécurité significatifs.
Adopter l « informatique fantôme ». Identifiez
l utilisation non gérée des appareils, des services
cloud et des applications. Identifiez les besoins
métier qui ont mené à leur utilisation, ainsi que
le risque auquel ils exposent l entreprise. Utilisez
des groupes professionnels pour activer les
fonctionnalités requises tout en atténuant les
risques.
E. Mettre en place une stratégie pour les
utilisateurs et leur formation
Les utilisateurs jouent un rôle essentiel dans la
sécurité des informations, et doivent être formés à
vos stratégies et normes concernant les aspects de
la sécurité liés à la création, à la classification, à la
conformité, au partage, à la protection et à la
surveillance des données.
© 2016 Microsoft Corporation. Tous droits réservés. Pour envoyer vos commentaires sur cette documentation, merci de nous écri re à l adresse [email protected].© 2016 Microsoft Corporation. Tous droits réservés. Pour envoyer vos commentaires sur cette documentation, merci de nous écri re à l adresse [email protected].
Plus d informations
Sécurisez les réseaux que vous installez et
exploitez dans vos centres de données. Suivez les
instructions et principes énoncés dans la section
Système d exploitation et intergiciels (ci-dessus).
Les comptes utilisés pour gérer la structure ont
le contrôle technique de celle-ci. Ils constituent
donc une dépendance de sécurité pour la
structure et tous les services hébergés sur celle-
ci. Ceux-ci incluent les comptes locaux et de
domaine disposant de privilèges
d administration sur les systèmes suivants:
Domaines Active Directory auxquels des
ressources de la structure sont jointes
Systèmes d exploitation hôtes de virtualisation
Outils de gestion de la structure
Pour ces ressources, suivez les instructions de
sécurité énoncées dans la section Privilèges et
identités d administration (ci-dessus).
Le microprogramme, logiciel incorporé dans le
matériel de la structure, est une dépendance de
sécurité des services cloud et un vecteur
d attaque potentiel. Validez et renforcez ce
logiciel, notamment sur le plan des aspects
suivants:
Contrôleurs de gestion de la carte de base
(BMC) pour l accès à distance ou sans
présence humaine au matériel
Microprogramme de la carte mère du serveur
Microprogramme de la carte d interface
Microprogramme/logiciel de l appliance
dédiée
Les garanties de sécurité des services locaux
dépendent de la sécurité des systèmes de stockage.
Ceux-ci incluent:
Outils de gestion du stockage
Groupes et comptes d administrateur de stockage
Stations de travail utilisées par les administrateurs
de stockage
Systèmes d exploitation et microprogrammes des
équipements de stockage
Sécurisez ces systèmes au moins au niveau requis
pour l ensemble des applications, identités, systèmes
d exploitation et données hébergés dessus.
Les garanties de sécurité de la structure dépendent
de l intégrité de la sécurité des logiciels et des outils
servant à les gérer. Il peut s agir notamment des
aspects suivants:
Gestion de la configuration
Gestion des opérations
Gestion de machine virtuelle
Sauvegarde
Sécurisez ces ressources au moins au niveau requis
pour les services et données hébergés sur la
structure.
D. Stockage G. Gestion de la structureA. Réseau physique
B. Identités de la structure et du centre
de données
C. Micrologiciel de serveur et d appareilF. Sécurité physique
Les machines virtuelles dépendent de la structure devirtualisation pour les garanties de sécurité. La structureinclut les éléments suivants:
Outils d administration de la virtualisation
Administrateurs de virtualisation
Stations de travail utilisées par ces administrateurs
Systèmes d exploitation d hôtes de machinesvirtuelles
Microprogramme sur le matériel hôte de machinesvirtuelles
Sécurisez ces systèmes au moins au niveau requis pour l ensemble des applications, identités, et donnéeshébergées sur la solution de virtualisation.
H. Solution de virtualisationE. Systèmes d exploitation et intergiciels
Les systèmes d exploitation et intergiciels installés sur
le matériel du serveur physique constituent une
dépendance de sécurité pour les services qui
s exécutent sur ceux-ci. Sécurisez ces ressources au
moins au niveau requis pour les services et données
hébergés sur la structure, en suivant les indications
énoncées dans la section Système d exploitation et
intergiciels (ci-dessus).
Les garanties de sécurité physique du matériel
hébergeant un service cloud doivent être au moins au
niveau requis pour l ensemble des applications,
données et identités hébergées. La sécurité physique
protège toutes les dépendances de sécurité,
notamment les éléments suivants:
Atériel de serveur
Équipements de stockage
Périphériques réseau
Stations de travail d administration
Supports d installation
Cartes à puce, jetons de mot de passe à usage
unique et mots de passe notés sur papier
TechEd 2014 : Gestion des accès privilégiés pour Active DirectoryTechEd 2014 : Gestion des accès privilégiés pour Active Directory
Livre blanc : Gestion de la sécurité dans Microsoft AzureLivre blanc : Gestion de la sécurité dans Microsoft Azure
Azure Key VaultAzure Key Vault
Livre blanc : Sécurité et gestion des journaux d audit deMicrosoft AzureLivre blanc : Sécurité et gestion des journaux d audit deMicrosoft Azure
Audit dans Office 365Audit dans Office 365
Informatique de confiance : gouvernance des donnéesInformatique de confiance : gouvernance des données
Livre blanc : Sécurité et gestion des journaux
d audit de Microsoft Azure
Livre blanc : Sécurité et gestion des journaux
d audit de Microsoft Azure
Audit dans Office 365Audit dans Office 365
Vue d ensemble de la sécurité opérationnelle
des services en ligne
Vue d ensemble de la sécurité opérationnelle
des services en ligne
Suite à la page suivante
Suite à la page suivante
Important : comment utiliser cette page
Cette page contient une liste méthodique d actions que Microsoft recommande
pour protéger vos données, identités et applications contre les menaces de
cybersécurité. Ces actions sont catégorisées et présentées sous la forme d une pile.
Les catégories en haut de la pile s appliquent à SaaS, PaaS, IaaS et au cloud privé.
L étendue des catégories diminue à mesure que vous descendez dans la pile.
SaaSSoftware as a Service
PaaSPlatform as a Service
IaaSInfrastructure as a Service
Cloud privéSaaSSoftware as a Service
PaaSPlatform as a Service
IaaSInfrastructure as a Service
Cloud privé
B. Suivre le Security Development
Lifecycle (SDL) Avant d acquérir des applications, examinez les
processus de développement et les pratiques
opérationnelles des fournisseurs dans une
perspective de sécurité. Intégrez cette tâche dans
votre processus d acquisition.
Suivez les instructions et recommandations du
fournisseur de l application concernant la
configuration de la sécurité.
Appliquez toutes les mises à jour de sécurité du
fournisseur aussi rapidement que vos besoins de
test le permettent. Assurez-vous que les intergiciels
et dépendances sont installés avec les applications.
Interrompez votre utilisation du logiciel avant
d atteindre la fin du support.
A. Sécuriser les applications que
vous acquérez
PaaSPlatform as a Service
IaaSInfrastructure as a Service
Cloud privé
5. Sécurité d application : s assurer que code de l application est résilient aux attaques
6. Réseau : garantir la connectivité, l isolement et la visibilité en cas de comportement anormal
Assurez-vous que votre architecture réseau est prête
pour le cloud en mettant à jour votre approche
actuelle ou en profitant de l occasion pour prendre un
nouveau départ avec une stratégie moderne pour les
services et plateformes cloud. Adaptez votre stratégie
de réseau aux aspects suivants:
Stratégie et gouvernance de sécurité globale
Modèle de confinement et stratégie d identité
Fonctionnalités et contraintes des services cloud
Votre conception doit contribuer à la sécurisation des
communications:
Entrantes en provenance d Internet
Entre machines virtuelles dans un abonnement
Entre abonnements
Vers les réseaux locaux et en provenance de ceux-ci
À partir d hôtes d administration à distance
A. Mettre à jour votre stratégie de sécurité
réseau et votre architecture de cloud
computing
Assurez-vous que vos processus et capacités
technologiques permettent de distinguer des
anomalies et écarts dans les configurations et modèles
de flux de trafic du réseau. Le cloud computing utilise
des réseaux publics, ce qui permet une exploitation
rapide des erreurs de configuration qui doivent être
évitées ou rapidement détectées et corrigées.
Surveillez étroitement les exceptions et alertez à leur
sujet.
Implémentez des moyens automatisés pour vous
assurer que votre configuration réseau reste
correcte et que les modèles de trafic inhabituels
soient détectés.
C. Gérer et surveiller la sécurité du réseau
Le cloud computing offre des capacités réseau
extraordinairement flexibles, car les topologies sont
définies dans les logiciels. Évaluez l utilisation de
ces capacités cloud modernes pour améliorer la
vérifiabilité, la détectabilité et la flexibilité
opérationnelle de votre sécurité réseau.
B. Optimiser avec capacités cloud
Les applications logicielles contenant du code source
que vous développez ou contrôlez constituent une
surface d attaque potentielle. Celles-ci incluent les
applications, les applications PaaS créées à partir d un
exemple de code dans Azure (tels les sites WordPress),
et les applications qui s interfacent avec Office 365.
Pour réduire les vulnérabilités et leur impact sur la
sécurité, suivez les meilleures pratiques en matière de
sécurité du code préconisées par le Microsoft Security
Development Lifecycle (SDL).
Voir : www.microsoft.com/sdl
Les applications logicielles contenant du code source
que vous développez ou contrôlez constituent une
surface d attaque potentielle. Celles-ci incluent les
applications, les applications PaaS créées à partir d un
exemple de code dans Azure (tels les sites WordPress),
et les applications qui s interfacent avec Office 365.
Pour réduire les vulnérabilités et leur impact sur la
sécurité, suivez les meilleures pratiques en matière de
sécurité du code préconisées par le Microsoft Security
Development Lifecycle (SDL).
Voir : www.microsoft.com/sdl
Livre blanc : Sécurité réseau de Microsoft AzureLivre blanc : Sécurité réseau de Microsoft Azure
IaaS
Infrastructure as a Service
Cloud privé
A. Système d exploitation virtuel
7. Système d exploitation et intergiciels : protéger l intégrité des hôtes
B. Outils de gestion de système d exploitation virtuel
Sécurisez le système d exploitation (SE) de l hôte virtuel et les intergiciels
s exécutant sur des machines virtuelles. Assurez-vous que tous les aspects de la
sécurité du système d exploitation et des intergiciels sont au moins au niveau requis
pour l hôte, notamment:
Privilèges administratifs et pratiques
Mises à jour logicielles pour le système d exploitation et les intergiciels
Ligne de base de la configuration de la sécurité
Utilisation d objets de stratégie de groupe (GPO)
Médias et méthodes d installation
Utilisation de tâches planifiées
Protection contre les programmes malveillants et détection/prévention des
intrusions
Configurations d IPsec et de pare-feu d hôte
Configuration et surveillance du journal des événements
Les outils de gestion système ont le contrôle technique complet des systèmes
d exploitation hôtes (dont les applications, les données et les identités), qui en font
une dépendance de sécurité pour le service cloud. Sécurisez ces outils au moins au
niveau des systèmes qu ils gèrent. Ces outils incluent généralement les éléments
suivants:
Gestion de la configuration
Gestion et surveillance des opérations
Sauvegarde
Gestion des mises à jour et correctifs de sécurité
L évolution des menaces à la sécurité et les
changements nécessitent des capacités
opérationnelles complètes et des ajustements
constants. Gérez ce risque de façon proactive.
Mettez en place les capacités
opérationnelles nécessaires pour surveiller les
alertes, enquêter sur les incidents, lancer des
actions correctives et intégrer les
enseignements tirés.
Créez un contexte externe des menaces en
utilisant les ressources disponibles, telles que
les flux d intelligence des menaces, les centres
d analyse et de partage d informations (ISAC) et
d autres moyens.
Validez votre posture de sécurité en faisant
appel à une équipe rouge autorisée ou en
organisant une activité de test d intrusion.
Livre blanc : Équipe rouge de Microsoft Enterprise CloudLivre blanc : Équipe rouge de Microsoft Enterprise Cloud
Livre blanc : Adversaires déterminés et attaques cibléesLivre blanc : Adversaires déterminés et attaques ciblées
C. Gérer l innovation continue
Le rythme des publications et mises à jour de
fonctionnalités à partir des services cloud requiert
une gestion proactive des impacts potentiels sur la
sécurité.
Définissez une cadence mensuelle pour
l examen et l intégration des mises à jour des
fonctionnalités cloud, des exigences
réglementaires et de conformité, des menaces en
constante évolution et des objectifs
organisationnels.
Évitez toute dérive de configuration avec des
examens périodiques pour vous assurer que les
technologies, configurations et pratiques
opérationnelles restent conformes aux stratégies
et protocoles.
Lorsque vous planifiez des contrôles de sécurité
et des processus de réponse de sécurité,
présumez qu un attaquant aura compromis
d autres ressources internes telles que des
comptes utilisateur, des stations de travail et des
applications. Présumez qu un pirate utilisera ces
ressources en tant que plateforme d attaque.
Modernisez votre stratégie de confinement en
prenant les dispositions suivantes:
Identification de vos ressources les plus
critiques, telles que les données, applications
et dépendances stratégiques. La sécurité de
celles-ci doit être à un niveau supérieur, sans
compromettre l opérabilité.
Amélioration de l isolement entre les zones
de sécurité en renforçant la rigueur de la
gestion des exceptions. Appliquez les
techniques de modélisation des menaces à
toutes les exceptions autorisées, et analyses
de ces flux de données d application, dont les
identités utilisées, les données transmises, la
fiabilité des applications et des plateformes, et
la capacité à inspecter les interactions.
Concentrez le confinement à l intérieur
d une zone de sécurité sur la préservation de
l intégrité du modèle d administration, plutôt
que sur un isolement du réseau.
Appliquez des approches de « privilège minimum »
à votre modèle d administration, notamment:
Limitez le nombre d administrateurs ou de
membres des groupes privilégiés.
Déléguez moins des privilèges aux comptes.
Fournissez les privilèges à la demande.
Demandez aux administrateurs existants
d effectuer les tâches au lieu d ajouter des
administrateurs.
Fixez des processus pour l accès d urgence et les
scénarios d utilisation rare.
Les dépendances de sécurité incluent tout
élément ayant le contrôle administratif d une
ressource. Veillez à renforcer toutes les
dépendances au moins au niveau de sécurité des
ressources qu elles contrôlent. Les dépendances
de sécurité pour les services cloud incluent
généralement les systèmes d identité, les outils
de gestion locaux, les groupes et les comptes
administratifs, et les stations de travail
auxquelles ces comptes se connectent.
B. Renforcer les dépendances de sécurité
Microsoft Advanced Threat AnalyticsMicrosoft Advanced Threat Analytics
Utilisez des informations d identification
sécurisées par matériel ou Multi-Factor
Authentication (MFA) pour toutes les identités
disposant de privilèges administratifs. Cela
permet d atténuer les risques liés à l utilisation
d informations d identification volées pour
abuser de comptes privilégiés.
Utilisez des informations d identification
sécurisées par matériel ou Multi-Factor
Authentication (MFA) pour toutes les identités
disposant de privilèges administratifs. Cela
permet d atténuer les risques liés à l utilisation
d informations d identification volées pour
abuser de comptes privilégiés.
Isolez les ressources à impact élevé des risques
très répandus liés à la navigation sur Internet et
au courrier électronique:
Utilisez des comptes dédiés pour les rôles
d administrateur privilégié pour les services
cloud et les dépendances locales.
Utilisez des stations de travail dédiées, à la
sécurisation renforcée pour l administration
des ressources informatiques ayant un impact
élevé sur l activité.
N utilisez pas de comptes aux privilèges élevés
sur des appareils utilisés pour la messagerie
électronique et la navigation sur le web.
E. Appliquer des normes de sécurité
rigoureuses
Les administrateurs contrôlent des quantités importantes de ressources de l organisation. Effectuezdes mesures rigoureuses et appliquez des normes desécurité strictes aux comptes et systèmes d administration. Ceux-ci incluent les services cloud et des dépendances locales telles que Active Directory, les systèmes d identité, les outils de gestion, les outils de sécurité, les stations de travail d administration et les systèmes d exploitation associés.
G. Éduquer et responsabiliser les
administrateursFormez les membres du personnel chargé de
l administration aux menaces probables et à leur
rôle essentiel dans la protection de leurs
informations d identification et des données clés
de l organisation. Les administrateurs sont les
gardiens de l accès à bon nombre de vos
ressources critiques. En leur prodiguant ce savoir,
vous leur permettez de mieux veiller sur vos
ressources et servir votre posture de sécurité.
B. Protéger les ressources de grande valeur
Définissez le niveau de protection le plus élevé pour les
ressources qui ont un impact disproportionné sur la
mission ou la rentabilité de l organisation. Effectuez une
analyse stricte du cycle de vie des ressources de grande
valeur et des dépendances de sécurité, et mettez en
place les conditions et contrôles de sécurité appropriés.
Identifiez et classez les ressources sensibles.
Définissez les technologies et processus
permettant d appliquer automatiquement des
contrôles de sécurité.
D. Définir des normes organisationnelles minimales
Établissez des normes minimales pour les appareils
approuvés et les comptes accédant aux ressources de
données appartenant à l organisation. Il peut s agir de
la conformité de configuration des appareils, de la
réinitialisation à distance de ceux-ci, des
fonctionnalités de protection des données
d entreprise, de la puissance de l authentification des
utilisateurs et de l identité des utilisateurs.
Protection des données dans Windows 10 EntrepriseProtection des données dans Windows 10 Entreprise
Gérer l accès au courrier électronique et à
SharePoint avec Microsoft Intune
Gérer l accès au courrier électronique et à
SharePoint avec Microsoft Intune
Utilisez des informations d identification sécurisées par
matériel ou Multi-Factor Authentication (MFA) pour
toutes les identités, afin d atténuer le risque que des
informations d identification volées puissent être
utilisées pour violer des comptes.
Identités des utilisateurs hébergées dans Azure
Active Directory (AD Azure).
Comptes locaux dont l authentification est fédérée à
partir d un Active Directory local.
Azure Multi-Factor AuthenticationAzure Multi-Factor Authentication
Microsoft Passport et Windows HelloMicrosoft Passport et Windows Hello
B. Gérer les appareils approuvés et
conformes
Gérer les stratégies de conformité d appareil pour
Intune Microsoft
Gérer les stratégies de conformité d appareil pour
Intune Microsoft
Microsoft Security Compliance Manager (SCM)Microsoft Security Compliance Manager (SCM)
Établissez, mesurez et appliquez des normes de
sécurité modernes aux appareils utilisés pour
accéder aux données et ressources d entreprise.
Appliquez des normes de configuration et installez
rapidement les mises à jour de sécurité pour réduire
le risque que des appareils compromis puissent être
utilisés pour consulter ou falsifier des données.
Enhanced Mitigation Experience Toolkit (EMET)Enhanced Mitigation Experience Toolkit (EMET)
Les utilisateurs contrôlent leurs propres comptes
et se trouvent en première ligne de la protection
de bon nombre de vos ressources critiques.
Offrez à vos utilisateurs la possibilité de veiller
correctement sur vos données
organisationnelles et personnelles. En même
temps, comprenez que les activités et erreurs
des utilisateurs comportent des risques pour la
sécurité, qui peuvent être atténués, mais jamais
totalement écartés. Concentrez-vous sur la
mesure et la réduction des risques auxquels
exposent les utilisateurs.
Formez les utilisateurs aux menaces probables
et à leur rôle dans la protection des données
métier.
Augmentez le coût pour l adversaire de la
compromission des comptes utilisateur.
Explorez la ludification et d autres moyens
d augmenter l engagement des utilisateurs.
Août 2016
Services de cloud computing Microsoft et sécurité réseauServices de cloud computing Microsoft et sécurité réseau
Blog sur la sécurité de Microsoft AzureBlog sur la sécurité de Microsoft Azure
Sécurisation des accès privilégiésSécurisation des accès privilégiés
Authentification des identités sans mot de passe via Microsoft PassportAuthentification des identités sans mot de passe via Microsoft Passport
Sécurisation des accès privilégiésSécurisation des accès privilégiés
Protection des informations pour Office 365Protection des informations pour Office 365
Vue d ensemble des stratégies de
protection contre la perte de données
Vue d ensemble des stratégies de
protection contre la perte de données
Always Encrypted (Moteur de base de données)Always Encrypted (Moteur de base de données)
http://www.microsoft.com/trustcenter
Centre de gestion de la
confidentialité Microsoft
http://www.microsoft.com/trustcenter
Centre de gestion de la
confidentialité Microsoft
SaaSSoftware as a Service
PaaSPlatform as a Service
IaaSInfrastructure as a Service
Cloud privéSaaSSoftware as a Service
PaaSPlatform as a Service
IaaSInfrastructure as a Service
Cloud privé
Tout ce que les architectes informatiques doivent
savoir sur la sécurité et la confiance dans les
plateformes et services Microsoft Cloud.
1 2 3 4 51 2 3 4 5Rubrique 4 sur 5
Sécurité Microsoft Cloud
pour Enterprise
Architects
Meilleures pratiques et modèles de sécurité AzureMeilleures pratiques et modèles de sécurité Azure
Meilleures pratiques et modèles de sécurité AzureMeilleures pratiques et modèles de sécurité Azure
2. Contrôle administratif : défendre contre la perte de contrôle de vos services cloud et systèmes locaux
1. Stratégie de sécurité, gouvernance et opérationnalisation : fournir une vision, des normes et des instructions claires pour votre organisation
Feuille de route et responsabilités du client
A. Développer des stratégies de sécurité
dans le cloud
B. Gérer les menaces continues D. Contenir le risque en présumant la
violation
D. Utiliser des comptes Administrateur et
des stations de travail dédiés
C. Utiliser une authentification forteA. Modèle d administration du moindre
privilège
Surveillez étroitement l utilisation et les activités
des comptes d administration. Configurez des
alertes pour les activités qui ont un impact élevé
ainsi que les activités rares ou inhabituelles.
F. Surveiller les comptes Administrateur
3. Données : identifier et protéger vos informations les plus importantes
C. Rechercher et protégez les ressources sensibles
La première étape de la protection des informations
consiste à identifier celles qu il faut protéger.
Développez des instructions claires, simples et bien
communiquées pour identifier, protéger et surveiller
les ressources de données les plus importantes,
indépendamment de l emplacement où elles se
trouvent.
A. Fixer des priorités en matière de protection des
informations
4. Identité des utilisateurs et sécurité des appareils : renforcer la protection des comptes et des appareils
C. Éduquer, responsabiliser et mobiliser
les utilisateurs
L une des méthodes plus fiables pour détecter
des abus de privilèges, de comptes ou de
données consiste à détecter les activités
anormales des comptes.
Identifiez les activités normales et
physiquement possibles. Alertez concernant
toute activité inhabituelle pour permettre
une investigation et une réponse rapides.
Pour les comptes dans Azure Active
Directory, utilisez l analytique intégrée pour
détecter toute activité inhabituelle.
D. Surveiller les abus de compte et
d informations d identification
A. Utiliser une authentification forte
Cloud privé
8. Environnements cloud privés ou locaux : sécuriser la base
Azure Multi-Factor AuthenticationAzure Multi-Factor Authentication
Rapports Office 365Rapports Office 365
Empreintes numériques sur les documentsEmpreintes numériques sur les documents
Chiffrement dans Office 365Chiffrement dans Office 365
Services AD RMS (Active Directory Rights
Management Services)
Services AD RMS (Active Directory Rights
Management Services)
Azure Rights ManagementAzure Rights Management
Pour plus d informations sur la manière dont les
centres de données Azure sont sécurisés, voir :
Cloud de confiance : sécurité, confidentialité
et conformité de Microsoft Azure
Pour plus d informations sur la manière dont les
centres de données Azure sont sécurisés, voir :
Cloud de confiance : sécurité, confidentialité
et conformité de Microsoft Azure
Boîte à outils de classification des donnéesBoîte à outils de classification des données
Adopter une approche systématique de la sécurité en local et dans le cloud
Si Microsoft s engage à assurer la confidentialité et la sécurité des données et applications dans le cloud, les clients doivent jouer un rôle actif dans lepartenariat de sécurité. L évolution constante des menaces à la cybersécuritéaugmente la nécessité de mettre en place une sécurité rigoureuse et des règles à tous les niveaux pour la protection des ressources tant en local et que dans le cloud. Les organisations sont plus à même de gérer et résoudre les questionsde sécurité dans le cloud quand elles adoptent une approche systématique.
La migration des charges de travail dans le cloud a pour effet de transférer à Microsoft de nombreuses responsabilités de sécurité et leurs coûts associés, ainsi que de libérer vos ressources de sécurité de sorte qu elles puissent se concentrer sur les aspects essentiels liés aux données, aux identités, à lastratégie et à la gouvernance.
Les stratégies vous permettent d ajuster vos
contrôles de sécurité aux objectifs, aux risques et à
la culture de votre organisation. Les stratégies
doivent fournir des directives claires, sans
équivoque pour permettre à tous les spécialistes de
prendre de bonnes décisions.
Documentez les stratégies de sécurité de
façon suffisamment détaillée pour guider le
personnel vers des décisions rapides et précises,
tout en adoptant et en gérant les services cloud.
Assurez-vous de disposer de suffisamment de
détails sur les aspects de stratégie bien connus
et revêtant une importance critique pour votre
posture de sécurité.
Équilibrer sécurité et opérabilité. Des contrôles
de sécurité entravant à l excès la possibilité pour
les administrateurs et les utilisateurs d accomplir
leurs tâches seront contournés. Obtenez
l adhésion des utilisateurs par l éducation à la
menace et l inclusion dans le processus de
conception de la sécurité.
Documentez les protocoles et les processus
pour l exécution de tâches de sécurité
extrêmement importantes, telles que l utilisation
d informations d identification d administration,
la réponse à des événements de sécurité
courants, et la récupération suite à des incidents
de sécurité significatifs.
Adopter l « informatique fantôme ». Identifiez
l utilisation non gérée des appareils, des services
cloud et des applications. Identifiez les besoins
métier qui ont mené à leur utilisation, ainsi que
le risque auquel ils exposent l entreprise. Utilisez
des groupes professionnels pour activer les
fonctionnalités requises tout en atténuant les
risques.
E. Mettre en place une stratégie pour les
utilisateurs et leur formation
Les utilisateurs jouent un rôle essentiel dans la
sécurité des informations, et doivent être formés à
vos stratégies et normes concernant les aspects de
la sécurité liés à la création, à la classification, à la
conformité, au partage, à la protection et à la
surveillance des données.
© 2016 Microsoft Corporation. Tous droits réservés. Pour envoyer vos commentaires sur cette documentation, merci de nous écri re à l adresse [email protected].© 2016 Microsoft Corporation. Tous droits réservés. Pour envoyer vos commentaires sur cette documentation, merci de nous écri re à l adresse [email protected].
Plus d informations
Sécurisez les réseaux que vous installez et
exploitez dans vos centres de données. Suivez les
instructions et principes énoncés dans la section
Système d exploitation et intergiciels (ci-dessus).
Les comptes utilisés pour gérer la structure ont
le contrôle technique de celle-ci. Ils constituent
donc une dépendance de sécurité pour la
structure et tous les services hébergés sur celle-
ci. Ceux-ci incluent les comptes locaux et de
domaine disposant de privilèges
d administration sur les systèmes suivants:
Domaines Active Directory auxquels des
ressources de la structure sont jointes
Systèmes d exploitation hôtes de virtualisation
Outils de gestion de la structure
Pour ces ressources, suivez les instructions de
sécurité énoncées dans la section Privilèges et
identités d administration (ci-dessus).
Le microprogramme, logiciel incorporé dans le
matériel de la structure, est une dépendance de
sécurité des services cloud et un vecteur
d attaque potentiel. Validez et renforcez ce
logiciel, notamment sur le plan des aspects
suivants:
Contrôleurs de gestion de la carte de base
(BMC) pour l accès à distance ou sans
présence humaine au matériel
Microprogramme de la carte mère du serveur
Microprogramme de la carte d interface
Microprogramme/logiciel de l appliance
dédiée
Les garanties de sécurité des services locaux
dépendent de la sécurité des systèmes de stockage.
Ceux-ci incluent:
Outils de gestion du stockage
Groupes et comptes d administrateur de stockage
Stations de travail utilisées par les administrateurs
de stockage
Systèmes d exploitation et microprogrammes des
équipements de stockage
Sécurisez ces systèmes au moins au niveau requis
pour l ensemble des applications, identités, systèmes
d exploitation et données hébergés dessus.
Les garanties de sécurité de la structure dépendent
de l intégrité de la sécurité des logiciels et des outils
servant à les gérer. Il peut s agir notamment des
aspects suivants:
Gestion de la configuration
Gestion des opérations
Gestion de machine virtuelle
Sauvegarde
Sécurisez ces ressources au moins au niveau requis
pour les services et données hébergés sur la
structure.
D. Stockage G. Gestion de la structureA. Réseau physique
B. Identités de la structure et du centre
de données
C. Micrologiciel de serveur et d appareilF. Sécurité physique
Les machines virtuelles dépendent de la structure de virtualisation pour les garanties de sécurité. La structure inclut les éléments suivants:
Outils d administration de la virtualisation
Administrateurs de virtualisation
Stations de travail utilisées par ces administrateurs
Systèmes d exploitation d hôtes de machines virtuelles
Microprogramme sur le matériel hôte de machinesvirtuelles
Sécurisez ces systèmes au moins au niveau requis pour l ensemble des applications, identités, et données hébergées sur la solution de virtualisation.
H. Solution de virtualisationE. Systèmes d exploitation et intergiciels
Les systèmes d exploitation et intergiciels installés sur
le matériel du serveur physique constituent une
dépendance de sécurité pour les services qui
s exécutent sur ceux-ci. Sécurisez ces ressources au
moins au niveau requis pour les services et données
hébergés sur la structure, en suivant les indications
énoncées dans la section Système d exploitation et
intergiciels (ci-dessus).
Les garanties de sécurité physique du matériel
hébergeant un service cloud doivent être au moins au
niveau requis pour l ensemble des applications,
données et identités hébergées. La sécurité physique
protège toutes les dépendances de sécurité,
notamment les éléments suivants:
Atériel de serveur
Équipements de stockage
Périphériques réseau
Stations de travail d administration
Supports d installation
Cartes à puce, jetons de mot de passe à usage
unique et mots de passe notés sur papier
TechEd 2014 : Gestion des accès privilégiés pour Active DirectoryTechEd 2014 : Gestion des accès privilégiés pour Active Directory
Livre blanc : Gestion de la sécurité dans Microsoft AzureLivre blanc : Gestion de la sécurité dans Microsoft Azure
Azure Key VaultAzure Key Vault
Livre blanc : Sécurité et gestion des journaux d audit deMicrosoft AzureLivre blanc : Sécurité et gestion des journaux d audit deMicrosoft Azure
Audit dans Office 365Audit dans Office 365
Informatique de confiance : gouvernance des donnéesInformatique de confiance : gouvernance des données
Livre blanc : Sécurité et gestion des journaux
d audit de Microsoft Azure
Livre blanc : Sécurité et gestion des journaux
d audit de Microsoft Azure
Audit dans Office 365Audit dans Office 365
Vue d ensemble de la sécurité opérationnelle
des services en ligne
Vue d ensemble de la sécurité opérationnelle
des services en ligne
Suite à la page suivante
Suite à la page suivante
Important : comment utiliser cette page
Cette page contient une liste méthodique d actions que Microsoft recommande
pour protéger vos données, identités et applications contre les menaces de
cybersécurité. Ces actions sont catégorisées et présentées sous la forme d une pile.
Les catégories en haut de la pile s appliquent à SaaS, PaaS, IaaS et au cloud privé.
L étendue des catégories diminue à mesure que vous descendez dans la pile.
SaaSSoftware as a Service
PaaSPlatform as a Service
IaaSInfrastructure as a Service
Cloud privéSaaSSoftware as a Service
PaaSPlatform as a Service
IaaSInfrastructure as a Service
Cloud privé
B. Suivre le Security Development
Lifecycle (SDL) Avant d acquérir des applications, examinez les
processus de développement et les pratiques
opérationnelles des fournisseurs dans une
perspective de sécurité. Intégrez cette tâche dans
votre processus d acquisition.
Suivez les instructions et recommandations du
fournisseur de l application concernant la
configuration de la sécurité.
Appliquez toutes les mises à jour de sécurité du
fournisseur aussi rapidement que vos besoins de
test le permettent. Assurez-vous que les intergiciels
et dépendances sont installés avec les applications.
Interrompez votre utilisation du logiciel avant
d atteindre la fin du support.
A. Sécuriser les applications que
vous acquérez
PaaSPlatform as a Service
IaaSInfrastructure as a Service
Cloud privé
5. Sécurité d application : s assurer que code de l application est résilient aux attaques
6. Réseau : garantir la connectivité, l isolement et la visibilité en cas de comportement anormal
Assurez-vous que votre architecture réseau est prête
pour le cloud en mettant à jour votre approche
actuelle ou en profitant de l occasion pour prendre un
nouveau départ avec une stratégie moderne pour les
services et plateformes cloud. Adaptez votre stratégie
de réseau aux aspects suivants:
Stratégie et gouvernance de sécurité globale
Modèle de confinement et stratégie d identité
Fonctionnalités et contraintes des services cloud
Votre conception doit contribuer à la sécurisation des
communications:
Entrantes en provenance d Internet
Entre machines virtuelles dans un abonnement
Entre abonnements
Vers les réseaux locaux et en provenance de ceux-ci
À partir d hôtes d administration à distance
A. Mettre à jour votre stratégie de sécurité
réseau et votre architecture de cloud
computing
Assurez-vous que vos processus et capacités
technologiques permettent de distinguer des
anomalies et écarts dans les configurations et modèles
de flux de trafic du réseau. Le cloud computing utilise
des réseaux publics, ce qui permet une exploitation
rapide des erreurs de configuration qui doivent être
évitées ou rapidement détectées et corrigées.
Surveillez étroitement les exceptions et alertez à leur
sujet.
Implémentez des moyens automatisés pour vous
assurer que votre configuration réseau reste
correcte et que les modèles de trafic inhabituels
soient détectés.
C. Gérer et surveiller la sécurité du réseau
Le cloud computing offre des capacités réseau
extraordinairement flexibles, car les topologies sont
définies dans les logiciels. Évaluez l utilisation de
ces capacités cloud modernes pour améliorer la
vérifiabilité, la détectabilité et la flexibilité
opérationnelle de votre sécurité réseau.
B. Optimiser avec capacités cloud
Les applications logicielles contenant du code source
que vous développez ou contrôlez constituent une
surface d attaque potentielle. Celles-ci incluent les
applications, les applications PaaS créées à partir d un
exemple de code dans Azure (tels les sites WordPress),
et les applications qui s interfacent avec Office 365.
Pour réduire les vulnérabilités et leur impact sur la
sécurité, suivez les meilleures pratiques en matière de
sécurité du code préconisées par le Microsoft Security
Development Lifecycle (SDL).
Voir : www.microsoft.com/sdl
Les applications logicielles contenant du code source
que vous développez ou contrôlez constituent une
surface d attaque potentielle. Celles-ci incluent les
applications, les applications PaaS créées à partir d un
exemple de code dans Azure (tels les sites WordPress),
et les applications qui s interfacent avec Office 365.
Pour réduire les vulnérabilités et leur impact sur la
sécurité, suivez les meilleures pratiques en matière de
sécurité du code préconisées par le Microsoft Security
Development Lifecycle (SDL).
Voir : www.microsoft.com/sdl
Livre blanc : Sécurité réseau de Microsoft AzureLivre blanc : Sécurité réseau de Microsoft Azure
IaaS
Infrastructure as a Service
Cloud privé
A. Système d exploitation virtuel
7. Système d exploitation et intergiciels : protéger l intégrité des hôtes
B. Outils de gestion de système d exploitation virtuel
Sécurisez le système d exploitation (SE) de l hôte virtuel et les intergiciels
s exécutant sur des machines virtuelles. Assurez-vous que tous les aspects de la
sécurité du système d exploitation et des intergiciels sont au moins au niveau requis
pour l hôte, notamment:
Privilèges administratifs et pratiques
Mises à jour logicielles pour le système d exploitation et les intergiciels
Ligne de base de la configuration de la sécurité
Utilisation d objets de stratégie de groupe (GPO)
Médias et méthodes d installation
Utilisation de tâches planifiées
Protection contre les programmes malveillants et détection/prévention des
intrusions
Configurations d IPsec et de pare-feu d hôte
Configuration et surveillance du journal des événements
Les outils de gestion système ont le contrôle technique complet des systèmes
d exploitation hôtes (dont les applications, les données et les identités), qui en font
une dépendance de sécurité pour le service cloud. Sécurisez ces outils au moins au
niveau des systèmes qu ils gèrent. Ces outils incluent généralement les éléments
suivants:
Gestion de la configuration
Gestion et surveillance des opérations
Sauvegarde
Gestion des mises à jour et correctifs de sécurité
L évolution des menaces à la sécurité et les
changements nécessitent des capacités
opérationnelles complètes et des ajustements
constants. Gérez ce risque de façon proactive.
Mettez en place les capacités
opérationnelles nécessaires pour surveiller les
alertes, enquêter sur les incidents, lancer des
actions correctives et intégrer les
enseignements tirés.
Créez un contexte externe des menaces en
utilisant les ressources disponibles, telles que
les flux d intelligence des menaces, les centres
d analyse et de partage d informations (ISAC) et
d autres moyens.
Validez votre posture de sécurité en faisant
appel à une équipe rouge autorisée ou en
organisant une activité de test d intrusion.
Livre blanc : Équipe rouge de Microsoft Enterprise CloudLivre blanc : Équipe rouge de Microsoft Enterprise Cloud
Livre blanc : Adversaires déterminés et attaques cibléesLivre blanc : Adversaires déterminés et attaques ciblées
C. Gérer l innovation continue
Le rythme des publications et mises à jour de
fonctionnalités à partir des services cloud requiert
une gestion proactive des impacts potentiels sur la
sécurité.
Définissez une cadence mensuelle pour
l examen et l intégration des mises à jour des
fonctionnalités cloud, des exigences
réglementaires et de conformité, des menaces en
constante évolution et des objectifs
organisationnels.
Évitez toute dérive de configuration avec des
examens périodiques pour vous assurer que les
technologies, configurations et pratiques
opérationnelles restent conformes aux stratégies
et protocoles.
Lorsque vous planifiez des contrôles de sécurité
et des processus de réponse de sécurité,
présumez qu un attaquant aura compromis
d autres ressources internes telles que des
comptes utilisateur, des stations de travail et des
applications. Présumez qu un pirate utilisera ces
ressources en tant que plateforme d attaque.
Modernisez votre stratégie de confinement en
prenant les dispositions suivantes:
Identification de vos ressources les plus
critiques, telles que les données, applications
et dépendances stratégiques. La sécurité de
celles-ci doit être à un niveau supérieur, sans
compromettre l opérabilité.
Amélioration de l isolement entre les zones
de sécurité en renforçant la rigueur de la
gestion des exceptions. Appliquez les
techniques de modélisation des menaces à
toutes les exceptions autorisées, et analyses
de ces flux de données d application, dont les
identités utilisées, les données transmises, la
fiabilité des applications et des plateformes, et
la capacité à inspecter les interactions.
Concentrez le confinement à l intérieur
d une zone de sécurité sur la préservation de
l intégrité du modèle d administration, plutôt
que sur un isolement du réseau.
Appliquez des approches de « privilège minimum »
à votre modèle d administration, notamment:
Limitez le nombre d administrateurs ou de
membres des groupes privilégiés.
Déléguez moins des privilèges aux comptes.
Fournissez les privilèges à la demande.
Demandez aux administrateurs existants
d effectuer les tâches au lieu d ajouter des
administrateurs.
Fixez des processus pour l accès d urgence et les
scénarios d utilisation rare.
Les dépendances de sécurité incluent tout
élément ayant le contrôle administratif d une
ressource. Veillez à renforcer toutes les
dépendances au moins au niveau de sécurité des
ressources qu elles contrôlent. Les dépendances
de sécurité pour les services cloud incluent
généralement les systèmes d identité, les outils
de gestion locaux, les groupes et les comptes
administratifs, et les stations de travail
auxquelles ces comptes se connectent.
B. Renforcer les dépendances de sécurité
Microsoft Advanced Threat AnalyticsMicrosoft Advanced Threat Analytics
Utilisez des informations d identification
sécurisées par matériel ou Multi-Factor
Authentication (MFA) pour toutes les identités
disposant de privilèges administratifs. Cela
permet d atténuer les risques liés à l utilisation
d informations d identification volées pour
abuser de comptes privilégiés.
Utilisez des informations d identification
sécurisées par matériel ou Multi-Factor
Authentication (MFA) pour toutes les identités
disposant de privilèges administratifs. Cela
permet d atténuer les risques liés à l utilisation
d informations d identification volées pour
abuser de comptes privilégiés.
Isolez les ressources à impact élevé des risques
très répandus liés à la navigation sur Internet et
au courrier électronique:
Utilisez des comptes dédiés pour les rôles
d administrateur privilégié pour les services
cloud et les dépendances locales.
Utilisez des stations de travail dédiées, à la
sécurisation renforcée pour l administration
des ressources informatiques ayant un impact
élevé sur l activité.
N utilisez pas de comptes aux privilèges élevés
sur des appareils utilisés pour la messagerie
électronique et la navigation sur le web.
E. Appliquer des normes de sécurité
rigoureuses
Les administrateurs contrôlent des quantités importantes de ressources de l organisation. Effectuezdes mesures rigoureuses et appliquez des normes desécurité strictes aux comptes et systèmes d administration. Ceux-ci incluent les services cloud et des dépendances locales telles que Active Directory, les systèmes d identité, les outils de gestion, les outils de sécurité, les stations de travail d administration et les systèmes d exploitation associés.
G. Éduquer et responsabiliser les
administrateursFormez les membres du personnel chargé de
l administration aux menaces probables et à leur
rôle essentiel dans la protection de leurs
informations d identification et des données clés
de l organisation. Les administrateurs sont les
gardiens de l accès à bon nombre de vos
ressources critiques. En leur prodiguant ce savoir,
vous leur permettez de mieux veiller sur vos
ressources et servir votre posture de sécurité.
B. Protéger les ressources de grande valeur
Définissez le niveau de protection le plus élevé pour les
ressources qui ont un impact disproportionné sur la
mission ou la rentabilité de l organisation. Effectuez une
analyse stricte du cycle de vie des ressources de grande
valeur et des dépendances de sécurité, et mettez en
place les conditions et contrôles de sécurité appropriés.
Identifiez et classez les ressources sensibles.
Définissez les technologies et processus
permettant d appliquer automatiquement des
contrôles de sécurité.
D. Définir des normes organisationnelles minimales
Établissez des normes minimales pour les appareils
approuvés et les comptes accédant aux ressources de
données appartenant à l organisation. Il peut s agir de
la conformité de configuration des appareils, de la
réinitialisation à distance de ceux-ci, des
fonctionnalités de protection des données
d entreprise, de la puissance de l authentification des
utilisateurs et de l identité des utilisateurs.
Protection des données dans Windows 10 EntrepriseProtection des données dans Windows 10 Entreprise
Gérer l accès au courrier électronique et à
SharePoint avec Microsoft Intune
Gérer l accès au courrier électronique et à
SharePoint avec Microsoft Intune
Utilisez des informations d identification sécurisées par
matériel ou Multi-Factor Authentication (MFA) pour
toutes les identités, afin d atténuer le risque que des
informations d identification volées puissent être
utilisées pour violer des comptes.
Identités des utilisateurs hébergées dans Azure
Active Directory (AD Azure).
Comptes locaux dont l authentification est fédérée à
partir d un Active Directory local.
Azure Multi-Factor AuthenticationAzure Multi-Factor Authentication
Microsoft Passport et Windows HelloMicrosoft Passport et Windows Hello
B. Gérer les appareils approuvés et
conformes
Gérer les stratégies de conformité d appareil pour
Intune Microsoft
Gérer les stratégies de conformité d appareil pour
Intune Microsoft
Microsoft Security Compliance Manager (SCM)Microsoft Security Compliance Manager (SCM)
Établissez, mesurez et appliquez des normes de
sécurité modernes aux appareils utilisés pour
accéder aux données et ressources d entreprise.
Appliquez des normes de configuration et installez
rapidement les mises à jour de sécurité pour réduire
le risque que des appareils compromis puissent être
utilisés pour consulter ou falsifier des données.
Enhanced Mitigation Experience Toolkit (EMET)Enhanced Mitigation Experience Toolkit (EMET)
Les utilisateurs contrôlent leurs propres comptes
et se trouvent en première ligne de la protection
de bon nombre de vos ressources critiques.
Offrez à vos utilisateurs la possibilité de veiller
correctement sur vos données
organisationnelles et personnelles. En même
temps, comprenez que les activités et erreurs
des utilisateurs comportent des risques pour la
sécurité, qui peuvent être atténués, mais jamais
totalement écartés. Concentrez-vous sur la
mesure et la réduction des risques auxquels
exposent les utilisateurs.
Formez les utilisateurs aux menaces probables
et à leur rôle dans la protection des données
métier.
Augmentez le coût pour l adversaire de la
compromission des comptes utilisateur.
Explorez la ludification et d autres moyens
d augmenter l engagement des utilisateurs.
Suite à la page suivante
Août 2016
Services de cloud computing Microsoft et sécurité réseauServices de cloud computing Microsoft et sécurité réseau
Blog sur la sécurité de Microsoft AzureBlog sur la sécurité de Microsoft Azure
Sécurisation des accès privilégiésSécurisation des accès privilégiés
Authentification des identités sans mot de passe via Microsoft PassportAuthentification des identités sans mot de passe via Microsoft Passport
Sécurisation des accès privilégiésSécurisation des accès privilégiés
Protection des informations pour Office 365Protection des informations pour Office 365
Vue d ensemble des stratégies de
protection contre la perte de données
Vue d ensemble des stratégies de
protection contre la perte de données
Always Encrypted (Moteur de base de données)Always Encrypted (Moteur de base de données)
http://www.microsoft.com/trustcenter
Centre de gestion de la
confidentialité Microsoft
http://www.microsoft.com/trustcenter
Centre de gestion de la
confidentialité Microsoft
SaaSSoftware as a Service
PaaSPlatform as a Service
IaaSInfrastructure as a Service
Cloud privéSaaSSoftware as a Service
PaaSPlatform as a Service
IaaSInfrastructure as a Service
Cloud privé
Tout ce que les architectes informatiques doivent
savoir sur la sécurité et la confiance dans les
plateformes et services Microsoft Cloud.
1 2 3 4 51 2 3 4 5Rubrique 4 sur 5
Sécurité Microsoft Cloud
pour Enterprise
Architects
Meilleures pratiques et modèles de sécurité AzureMeilleures pratiques et modèles de sécurité Azure
Meilleures pratiques et modèles de sécurité AzureMeilleures pratiques et modèles de sécurité Azure
La création d une feuille de route complète pour
la sécurité dans le cloud nécessite que vous
sachiez où vous vous trouvez. Microsoft peut
vous aider à créer une feuille de route
personnalisée pour ce qui suit:
Stratégie et fonctionnalités de sécurité.
Stratégie d identité et alignement.
Sécurité Office 365.
Sécurité des abonnement et charges de travail
Azure.
Détection et protection des ressources de
grande valeur.
Protection des informations et gestion des
droits.
Voyage dans la sécurité du cloud
Évaluation et planification de
la sécurité du cloud
Administration, identité et
sécurité de l hôte
Migration et sécurisation
renforcée de la charge de
travail dans le cloudMicrosoft peut vous aider à renforcer la sécurisation de vos ressources cloud actuelles, en migrant en toute sécurité les charges de travail vers le cloud, et en créant de nouvelles charges de travail dans le cloud dont la sécurisation est renforcée d emblée. Microsoft dispose du savoir-faire et de l expérience nécessaires pour vous aider à optimiser vos garanties de sécurité en relation avec les ressources d infrastructure cloud et de présence de la marque, notamment par les moyens suivants:
Renforcement de la configuration de sécuritéd Office 365.
Analyse de la charge de travail, migration etsécurisation renforcée dans Azure.
Sécurisation renforcée des stations de travail pourla gestion des réseaux sociaux et de la marque.
Sécurisation renforcée des consoles pourl administration de l infrastructure cloud.
Sécurisation renforcée des applications etprocessus de développement d applications pour les applications PaaS et hybrides en utilisant Microsoft Security Development Lifecycle (SDL) et la norme internationale ISO 27034-1.
Conception, implémentation et sécurisation desclouds privés.
Détection des menaces et réponse
aux incidents
Gestion du support, des opérations et
du service : pérennisation des acquis
Comment les services Microsoft peuvent-ils vous aider ?
Microsoft dispose d équipes de réponse aux
incidents de premier ordre, qui disposent d une
vaste expérience dans la gestion des attaques
ciblées menées par des adversaires déterminés.
Microsoft peut vous aider à détecter ces menaces,
à traquer les adversaires dans votre
environnement, à réagir aux incidents, et à
récupérer l intégrité et la disponibilité du service
informatique suite à une attaque. Ces services sont
les suivants:
Détection des menaces en tant que service de
sécurité géré.
Prise en charge de la réponse aux incidents (par
téléphone et localement).
Recherche proactive d adversaires permanents
dans votre environnement.
Récupération après attaques contre la
cybersécurité.
La sécurisation des privilèges administratifs est
essentielle pour les services cloud et les
fonctionnalités locales d identité et de sécurité
dont ils dépendent. Microsoft a élaboré des
solutions de pointe pour protéger et surveiller les
privilèges administratifs, qui résolvent les
difficultés à l aide de personnes, de processus et
de technologies, notamment :
Sécurisation renforcée de l administration des
services cloud.
Sécurisation renforcée de l administration des
systèmes d identité et d Active Directory.
Sécurisation renforcée des outils et systèmes
de gestion des infrastructures.Privilèges
administratifs juste-à-temps et juste assez.
La sécurité dans le cloud est un chemin. La
préservation de vos garanties de sécurité nécessite
un investissement continu dans un modèle
opérationnel gérable, qui englobe des personnes,
des processus et des technologies. Les services
Microsoft offrent un vaste éventail de services de
support informatique en relation avec le cloud et la
sécurité, dont la formation du personnel
informatique, les évaluations de l intégrité et des
risques, et l aide à l adoption des pratiques
recommandées. Les services Microsoft IT Service
Management (ITSM) vous permettent d implémenter
la gestion du cycle de vie au sein du service
informatique en promouvant la préparation des
personnes et les processus requis pour tirer parti
efficacement des capacités technologiques.
Microsoft dispose d une vaste expérience dans la cybersécurité ainsi que la
détection des menaces et la réponse à celles-ci. Nous fournissons des services
professionnels à nos clients. Le Microsoft Enterprise Cybersecurity Group est
une équipe d architectes, de consultants et d ingénieurs de premier ordre, qui
permettent aux entreprises de migrer vers le cloud en toute sécurité, de
moderniser leurs plateformes informatiques ainsi que d éviter et d atténuer les
violations. Les services sont les suivants:
Protection des ressources de grande valeur
Évaluation des risques
Surveillance réseau et détection des menaces
Réponse aux incidents et récupération après incident
Cette page présente une feuille de route classique relative à la sécurité dans le cloud, basée sur notre expérience dans la rentabilisation du cloud et la défense des ressources cloud contre les menaces de cybersécurité.
Un chemin classique vers le cloud inclut des transformations de sécurité clés qui touchent à la culture informatique, à la gouvernance, à la stratégie, à la technologie des processus et aux contrôles de sécurité de votre organisation. Les modifications et difficultés les plus courantes sont les suivantes:
Établissement et validation de la fiabilité des fournisseurs de services cloud.
Transfert des défenses primaires aux couches d identité, de données etd application.
Suivi de l évolution des capacités et contrôles de sécurité dans le cloud.
Suivi de l évolution des menaces de cybersécurité.
Prise en main Si vous souhaitez une assistance concernant l une des fonctionnalités de cybersécurité ou de sécurité approuvée dans le cloud décrites sur cette page, contactez votre représentant des services Microsoft, ou visitez le site www.microsoft.com/services.
Si vous souhaitez une assistance concernant l une des fonctionnalités de cybersécurité ou de sécurité approuvée dans le cloud décrites sur cette page, contactez votre représentant des services Microsoft, ou visitez le site www.microsoft.com/services.
Engagement des services professionnels Microsoft
Les clients disposant d un contrat de niveau Support Premier peuvent aisément accéder aux ingénieurs de support hautement spécialisés en sécurité, ainsi qu aux équipes de réponse aux incidents sur site. Pour les clients titulaires d un contrat Premier, aucune conclusion de contrat supplémentaire n est nécessaire pour déclencher des activités de réponse aux incidents de Microsoft. Pour plus d informations, contactez votre responsable de compte technique (TAM).
Réponse aux incidents de sécurité
© 2016 Microsoft Corporation. Tous droits réservés. Pour envoyer vos commentaires sur cette documentation, merci de nous écri re à l adresse [email protected].© 2016 Microsoft Corporation. Tous droits réservés. Pour envoyer vos commentaires sur cette documentation, merci de nous écri re à l adresse [email protected].
Par où commencer ?
Microsoft recommande de commencer par
une vue d ensemble de votre organisation,
puis d aborder les risques principaux:
Évaluez votre position de sécurité dans le
cloud pour obtenir une vue générale du
chemin à parcourir.
Activez la détection avancée des menaces.
Abordez les risques principaux : protégez
les comptes de réseaux sociaux vitaux et
les comptes dotés de privilèges
administratifs dans le cloud à l aide d une
sécurisation renforcée des stations de
travail et d une sécurité adaptée à ces
rôles.
Août 2016
Tout ce que les architectes informatiques doivent
savoir sur la sécurité et la confiance dans les
plateformes et services Microsoft Cloud.
1 2 3 4 51 2 3 4 5Rubrique 5 sur 5
Sécurité Microsoft Cloud
pour Enterprise
Architects
Autres ressources
informatiques de
Microsoft Cloud aka.ms/cloudarchoptionsaka.ms/cloudarchoptions
Options de services
et plateformes
aka.ms/cloudarchidentityaka.ms/cloudarchidentity
Identité
aka.ms/cloudarchnetworkingaka.ms/cloudarchnetworking
Mise en réseau
aka.ms/cloudarchhybridaka.ms/cloudarchhybrid
Hybride