Upload
microsoft-technet-france
View
269
Download
1
Embed Size (px)
DESCRIPTION
Depuis l’annonce par Microsoft du lancement de l’initiative pour l’informatique de confiance le 15 janvier 2002, le panorama des menaces a beaucoup évolué ; de même l’architecture des systèmes des informations et l’utilisation de l’internet dans nos vie de tous les jours. Irruption de la consumérisation de l'informatique, remise en cause de la notion de périmimètre de sécurité du système d'information, Cloud Computing,... tout cela dans un contexte où les menaces deviennent de plus en plus ciblées. Le but de cette session est de faire le point sur la stratégie sécurité de Microsoft en évoquant ses évolutions les plus récentes.
Citation preview
palais des congrès Paris
7, 8 et 9 février 2012
Bernard OurghanlianDirecteur Technique et SécuritéMicrosoft France
La stratégie sécurité de MicrosoftCode Session : SEC2101
Sommaire
Le panorama de la sécurité
Security Development Lifecycle
Sécurité des produits
Le programme du RSSI de Microsoft - Consumérisation
Leadership et responsabilité de l’entreprise
La stratégie de Microsoft
Trustworthy Computing, L’informatique digne de confiance
Sécurité Vie Privée Fiabilité Pratiques commercialesSécurité• Sécurise contre les
attaques• Protège la confidentialité,
l’intégrité et la disponibilité des données et des systèmes
• Aide à gérer les risques
• Protège contre une communication non désirée
• Choix et contrôle par l’utilisateur• Produits, services en ligne qui
adhèrent à des principes d’information équitables
• Fiable, disponible• Service prévisible, cohérent,
réactif• Maintenable• Résilient, facilement restauré• Prouvé, prêt
• Engagement sur une interopérabilité centrée sur le client
• Leader de l’industrie reconnu, partenaire fiable
• Ouvert, Transparent
Importance croissante de l'identité
Attaques ciblées
Cloud Computing
Rôle de l’Etat
Consumérisation de l’informatique
Tendances informatiques et sociétales
It’s not just that software runs the power grid, the global financial system, and the armed forces
around the world, but that the fabric of society is connected through email,
browsing, social networking, search, and web applications.
Scott CharneyCVP Trustworthy Computing
Microsoft
Microsoft warns of phone-call
security scam targeting PC users
By Nathan Olivarez-Giles, June 17, 2011
Microsoft is warning its customers of a
new scam that employs "criminals posing
as computer security engineers and
calling people at home to tell them they
are at risk of a computer security threat."
Dans les nouvelles…Sony Finds More Cases of Hacking of Its ServersBy NICK BILTON , May 2, 2011
Sony said Monday that it had discovered that more credit card information and customer profiles had been compromised during an attack on its servers last week.
Expedia's TripAdvisor Member Data Stolen in Possible SQL Injection AttackBy Fahmida Y. Rashid, March 24, 2011
TripAdvisor discovered a data breach in its systems that allowed attackers to grab a portion of the Website's membership list from its database.
Nasdaq Confirms Breach in NetworkBY DEVLIN BARRETT, JENNY STRASBURG AND JACOB BUNGE FEBRUARY 7, 2011
The company that owns the Nasdaq Stock Market confirmed over the weekend that its computer network had been broken into, specifically a service that lets leaders of companies, including board members, securely share confidential documents.
Expect Attaques ciblées
after massive Epsilon email
breach, say experts.
Database of stolen addresses
is a gold mine for hackers
and scammersBy Gregg Keizer, April 4, 2011
The high-profile data breach Epsilon
Interactive reported April 1 caused quite a
stir, as the company noted on its web site
that “a subset of Epsilon clients' customer
data were exposed by an unauthorized entry
into Epsilon's email system.” BtoC brands
including Best Buy, Kroger and Walgreen
were among the estimated 2% (of Epsilon’s
approximately 2,500 clients) affected by the
attack.
RSA warns SecurID customers after company is hackedBy Robert McMillan, March 17, 2011EMC's RSA Security division says the security of the company's two-factor SecurID tokens could be at risk following a sophisticated
cyber-attack on the company.
Hack attack spills web
security firm's
confidential data By Dan Goodin in San Francisco Posted in
Security, 11th April 2011
Try this for irony: The website of
web application security provider
Barracuda Networks has
sustained an attack that appears
to have exposed sensitive data
concerning the company's
partners and employee login
credentials, according to an
anonymous post. Barracuda
representatives didn't respond to
emails seeking confirmation of
the post, which claims the data
was exposed as the result of a
SQL injection attack.
Microsoft Exposes Scope of Botnet ThreatBy Tony Bradley, October 15, 2010
Microsoft's latest Security Intelligence Report focuses on the expanding threat posed by bots and botnets.
Microsoft this week unveiled the ninth volume of its Security Intelligence Report (SIR). The semi-annual assessment of the state of computer and Internet security and overview of the threat landscape generally yields some valuable information. This particular edition of the Security Intelligence Report focuses its attention on the threat posed by botnets.
Expérience et réalisations de Microsoft
Trustworthy ComputingInitaitive (TwC)
Memo BillG
Microsoft Security Engineering
Center/Security Development
Lifecycle
Global Foundation
Services (GFS)
Malware Protection
Center
Microsoft SecurityResponse Center
(MSRC)
Certification SAS-70
Certification FISMA
Certification ISO 27001
Windows Update
1er Datacenter Microsoft
1989 1995 2000 2005 2010
ActiveDirectory
Stratégie sécurité de Microsoft
LES FONDAMENTAUX DE LA SECURITE
INNOVATIONS TECHNOLOGIQUES
LEADERSHIP
Formation
Exécuter le plan de
réponse sur incident
Réponse
Plan de réponse sur Incident
Revue Finale de Sécurité
Archivage de la version
Version
Analyse dynamique
Fuzz Testing
Revue de la surface
d’attaque
Vérification
Utiliser les outils autorisés
Déprécier les fonctions non
sûres
Analyse statique
ImplémentationEtablir les
exigences de la conception
Analyser la surface
d’attaque
Modéliser les menaces
Conception
Etablir exigences de sécurité
Etablir niveaux qualité /bogues
Evaluation de risques sécurité
et vie privée
Exigences
Formation sécurité de
base
Microsoft Security Development LifecycleTravailler pour protéger nos utilisateurs…
Réduire les vulnérabilités, limiter les sévérités des exploits
Améliorations permanentes du processus – Cycle de 12 mois
Education
Imputabilité
Administrer et suivre la formation en sécurité
Réponse sur Incident(MSRC)
Etablir des critères pour la
sortie d’une version et
approbation (RFS)
Processus
Aider les équipes produits à se conformer aux exigences de SDLLES FONDAMENTAUX
DE LA SECURITE
INNOVATIONS TECHNOLOGIQUES
LEADERSHIP
TERMINAUX
Le panorama de la sécurité
APPS
PROTECTION DE L’INFORMATION
CONTRÔLE D’ACCESS
ANTI-MALWARE
GESTION DES POLITIQUES
RECHERCHE & REPONSE
DEVELOPPEMENTSECURISE
Cloud Privé Cloud Public
Sur place Online
Technologies Microsoft et Ressources
TERMINAUX
Cloud Privé Cloud Public
PROTECTION DE L’INFORMATION
CONTRÖLE D’ACCESS
ANTI-MALWARE
GESTION DES POLITIQUES
RECHERCHE & RERPONSE
DEVELOPPEMENTSECURISE
Sur place Online
Protection du Client de bout en bout
Universal Extensible Firmware Interface (UEFI) Trusted Platform Model (TPM)
Comptes utilisateurs Windows standardUser Account Control et AppLockerApplications ModernesSecurity Development Lifecycle (SDL)
• Maintenir le logiciel avec une solution de gestion des correctifs• Fournir du logiciel sécurisé par conception• Opérer une plateforme et des applications
résistantes aux malwares
Protéger contre et gérer les menaces
Windows 7 BitLockerMDOP -BitLocker Administration and MonitoringOffice Information Rights Management (IRM)Windows Encrypted File SystemActive Directory Rights Management Services
• Sécuriser les données au repos avec du chiffrement• Protéger les données en mouvement avec
le chiffrement• Protéger les données en utilisation avec des
contrôles d’accès
Active DirectoryDirect AccessNetwork Access ProtectionContrôle d’accès dynamique
• Gérer tout le cycle de vie de l’identité• Valider l’identité des utilisateurs avec
l’authentification forte• Accès distant sécurisé et toujours
connecté• Protéger les ressources alors que
l’environnement change
Protéger les données sensibles
Sécuriser l’accès aux ressources
Scé
nari
os
Pro
duit
sFo
nct
ionnalit
és
Boot sécuriséBoot mesuréVue protégéeSmart Screen IE
Windows Phone
Fondamentalement sécurisé pour vous aider à protéger vos informations business
Renforcé
Isole les appsEvite le vol de donnéesCertifie les apps
Géré
Politiques EASEffacement à distanceIRM
Apps dignes de confiance
Cible la distributionChiffre les donnéesPrêt au Cloud
Environnement Cloud Microsoft
Services de la Plateforme Cloud
Infrastructure Cloud
Services Cloud
Services Consommate
ur et PME
Services Enterprise
Services tiers hébergés
Global Foundation Services
Sécurité Global SoutenableInfrastructure
Services tiers hébergés
Services Cloud
Vous aider à vous conformer à vos exigences de conformité
Infrastructure Cloud
Services de la plateforme Cloud Services Cloud
Utilisateurs
Données
Application
Hôte
Réseau
Physique
Fournisseur du Cloud
Consommateur du CloudServices de la
plateforme Cloud
Infrastructure Cloud
Services consommateu
ret PME
Services Enterprise
Capacités de l’infrastructure Microsoft en termes de conformité
Certification ISO / IEC 27001:2005
Attestations SAS 70 Type I et II(En cours de transition vers SSAE 16/ISAE 3402 SOC 1, 2, et 3)
HIPAA/HITECH (US seulement)
Certification standard de sécurité des données PCICertification et accréditation FISMA (US seulement)Conformité à diverses lois en termes de vie privée95/46/EC, c.à.d.. Directive Européenne de protection des donnéesClauses standards (en conformité avec les demandes du groupe de l’article 29)
Sécurité de la plateforme Cloud
Couche Défenses
Utilisateur • Gestion des comptes, formation et sensibilisation, dépistage• Service de contrôle d’accès ouvert et interopérable
Données • Clés de stockage fortes pour le contrôle d’accès• Support de SSL pour les transferts de données entre toutes les parties
Application • Code front-end écrit avec le .NET framework en mode partial trust• Comptes à faibles privilèges
Hôte • Version allégée de Windows Server 2008 R2• Frontières du hôte rendues obligatoires par un hyperviseur externe
Réseau • Pare-feu hôte limitant le trafic vers les VM• VLAN et filtres de paquets dans les routeurs
Physique • Fourni par Global Foundation Services
Safe Harbor EU-US Oui
Certification ISO / IEC 27001:2005
Oui
SSAE 16 Mi-2012
HIPAA BAA Planifié
PCI DSS Planifié
FISMA Planifié
Conformités
Sécurité des services Cloud
ConformitésCertification ISO / IEC 27001:2005
Oui (depuis la sortie)
SAS-70 Type I (SSAE SOC 1 Type I)
Oui
SAS-70 Type II(SSAE SOC 1 Type II)
2ème semestre 2012
FISMA 1er semestre 2012
HIPAA/BAA Exchange Online : Oui Lync Online: OuiSharePoint Online: 1er semestre 2012
« Model Clauses » Européennes
• EU Safe Harbor – Oui• Peut être signé pour les clients en AE
depuis le 1er juin 2011, effectif depuis Q4 2011
• Effectif pour tous clients depuis Q4 2011
Accord de traitement de données
Peut être signé depuis le 1 juin 2011 au sein d’un AE
Couche Défenses
Utilisateur • Gestion des comptes, formation et sensibilisation, dépistage
Données • Contrôle d’accès et surveillance, intégrité des fichiers/données
Application
• Ingénierie sécurisée (SDL), contrôle d’accès et surveillance, anti-malware, S/MIME
Hôte • Contrôle d’accès et surveillance, anti-malware, gestion de patch et de configuration
Réseau • Interne : Authentification à deux facteurs, détection d’intrusion, analyse des vulnérabilités
• Externe : Routeurs de bordure, détection d’intrusion, analyse des vulnérabilités
Physique • Fourni par Global Foundation Services
Windows Server
Windows Server Core
File Classification Infrastructure
Direct Access
Bitlocker
Isolation de Serveur et de domaine
Network Access Protection
Signature du code en mode Kernel
Architecture basé sur une architecture micronoyau
Hyperviseur à accès restreint
Isolation complète de l’invité
Surveillance et politiques rendues obligatoires par la
partition parente
Management par System Center
Active Directory
Read-Only Domain Controller
Federation Services
Rights Management Services
Certificate Authority Services
Intégration des Services Cloud
Forefront Identity Manager
Sécurisé à la base Virtualisation de Serveur et Cloud Privé
Gestion d’identités et de politiques
Microsoft SQL ServerAider à faciliter de mise en conformité des organisations
Chiffrement de données transparent
Chiffrement de la sauvegarde
Gestion extensible de clés
Améliorations du chiffrement
Protection des données Contrôle d’accès Assurer la conformité
Aide à protéger vos données avec une solution de base de données
connue historiquement pour disposer du plus faible nombre de
vulnérabilités du marché
Contrôle d’accès à vos données en gérant efficacement
l’authentification et l’autorisation et en ne fournissant l’accès qu’aux
utilisateurs autorisés
Assure la conformité avec les politiques de l’entreprise ou
les réglementations telles que SOX, LSF, PCI, et Critères
CommunsAuthentification Kerberos
Rôles Serveur définis par l’utilisateur
Schéma par défaut pour les groupes
Authentification base de données confinée
Gestion basée sur les politiques
Audit défini par l’utilisateur, filtrage et résilience
Audit SQL Server Audit dans touts les versions
Changement de la capture des données
Exe
mple
s
Whitepaper “SQL Server Delivers Industry-Leading Security” by ITIC, a leading analyst firmWhitepaper “Supporting HIPAA Compliance with SQL Server,” by Information Security Center of
Expertise at Jefferson Wells International, Inc, a leading Risk Advisory and Security Compliance services organization.
Whitepaper “Deploying SQL Server Based on Payment Card Industry Data Security Standards (PCI DSS 2.0),” by certified audit firm, Parente Randolph (now ParenteBeard).
KB Support Article How to use SQL Server in FIPS 140-2 compliant mode
ProductivitéCommuniquer et collaborer de manière plus sécurisée en utilisant Exchange, SharePoint, Lync, and Office
Protection en plusieurs couches contre spam et
malware
Efficacité garantie par 5 SLA admettant contrepartie
financière
Contrôles au sein des produits afin d’aider les
utilisateurs à se protéger contre les menaces
Protection Complète
Règles de politique permettant d’inspecter les
mails en transit
Intégration avec AD RMS pour protéger les données
sensibles
Chiffrement de bout en bout des communications
Sécurité de l’Information
Administration, reporting et audit intégrés
Contrôle granulaire sur les accès et les permissions des
utilisateurs
Politiques de sécurité pour les terminaux mobiles et
effacement des terminaux à distance
Visibilité et Contrôle
L’agenda du RSSI de Microsoft
Source: “Trends in Information Protection for 2008” Presentation for SC Magazine WebCast, January 9, 2008
• IntellectualProperty
Protection• Increased Data
Leakage and Portability
• Insider Threats• Risk Management vs. Risk Elimination • Business • Continuity
• Support for Rapidly Changing Business
• Need for Improved Business Intelligence
• Building robust continuity plans
• Deliver First and Best (products & services)
• Better Integration with Board/ERM
• Vendor and 3rd Party Management
• Asset and Configuration Management
• Executive Reportingand Metrics
• Awareness and training
MSIT
(RSSI)
+ 100 pays
190 000 utilisateurs
+ 1000 applications
8 Datacenters de production
10 000 serveurs de
production
+ 12 000 machines
virtuelles
1,3 million de terminaux
microsoft.com, 1,7 Milliards de hits/jour
7 Millions spam filtrés par jour
85 Millions IM par mois
34 000 sessions de collaboration virtuelle par mois
41 000 terminaux WP 7
+ 700 000 Sites SharePoint
• “Cloud” Computing _• Data Loss
Prevention • SIEM Platforms and
Programs • IAM Governance
and Process • Emerging
technologies
+ 102 000 Clients Windows 7
Une seule instance SAP surSQL Server 2008 R2
+ 109 000 Clients Office 2010
49 % des utilisateurs sur OCS/Lync
Import des usages innovants depuis la maison Exemple du succès des téléphones portables dans
l’entreprise Messagerie instantanée ou réseaux sociaux
« Floutage » de la frontière entre la maison et le bureau Massification de l’utilisation des PC portables, des
tablettes, des Smartphones,…Changement de certaines politiques d’achat Contournement de la DSI par les métiers avec un achat
direct en mode « consommateur »…
La consumérisation et ses manifestations dans l’entreprise
Accès au patrimoine informationnel en fonction de
Qui vous êtes Lecture, Lecture/Ecriture, Contrôle complet
Quel est le niveau de confiance dansle terminal
Géré, non géréOù est le terminal
Réseau d’entreprise Internet Pays hostile
Quelques principes permettant la consumérisation
Le niveau d’accès augmente avec la confiance
Niv
eau d
’acc
ès
Niveau de confiance de l’IT
Géré
Applicationsmétiers
Documents
Email, calendrier,
contacts
Non géré
Accès aux documents internes et aux sites à travers l’Internet
Plein accès aux applications métiers
sur le réseau d’entreprise
Possibilité d’ouvrir des messages email protégés par un Digital Rights
Management (DRM)
Possibilité d’accéder aux emails, calendrier et contacts
Accès aux applications métiers dans le Cloud
Accès au stockage de documents dans le Cloud
Isolation Isolation de serveur et de domaine (IPSec) Contrôle de l’état de santé des terminaux - Network Access
Protection (NAP) Services de gestion de droits numériques – Rights Management
Services - RMSAccès
Unified Access Gateway (UAG) Terminal Server Access Gateway (TSG) Virtual Desktop Infrastructure (VDI) Remote Desktop Services (RDS) Application distante RDS
Technologies permettant la Consumérisation
Indigne de confiance
Ordinateur non géré
Isolation de domaine
Contrôleur de domaine Active Directory
X
Isolation de serveur
Serveurs avec des données sensiblesStation RH
Ordinateur géré
X
Ordinateur géré
Serveur de ressources digne de confiance
Réseau d’entreprise
Definir les frontières d’isolation logiquesDistribution des politiques et des crédentitésLes ordinateurs gérés peuvent communiquerBloquer connexions entrantes depuis ordi. indignes de confiancePermettre les accès aux ressources sensibles
Isolation de serveur et de domaine
Isolation : Network Access Protection
Network Access ProtectionSolution basée sur des politiques qui :• Valide si les ordinateurs sont
conformes aux politiques de « santé »• Limite les accès des ordinateurs non conformes• Corrige automatiquement
les ordinateurs non conformes• Met à jour en continu les ordinateurs conformes pour maintenir leur état de santé
Les points forts de la solutionFondée sur des standardsPlug and PlayFonctionne avec la plupart des terminauxSupporte plusieurs solutions antivirusEst devenu le standard pour le contrôle d’accès réseau
Clients
Partenaires
Employés distants
Intranet
Internet
Network Access ProtectionComment cela fonctionne-t-il ?Accès demandé
Etat de santé envoyé auNetwork Policy Server (RADIUS)
Le NPS autorise en fonction de la politique de santé
Si conforme, accès donné
Si non conforme,accès restreint au réseau et remédiation
NPS Microsoft
Réseau d’entreprise
Serveurs de politiquesPatch, AV,…
DCHP, VPNSwitch/Routeur
Réseau restreint
Serveurs de remédiation
Patch, AV,…
Non conforme à la politique
Conforme à la politique
1
3
5
4
1
3
4
5
2
2
Protéger le capital intellectuel : Flux RMS
Auteur utilisant Office Le destinataire
Windows Server tournant RMS
SQL Server Active Directory
2
3
4
5
2. L’auteur définit un ensemble de droits d’usage et de règles pour ses fichiers, l’application crée une « licence de publication » et chiffre le fichier
3. L’auteur distribue le fichier
4. Le destinataire clique sur le fichier pour l’ouvrir, l’application compatible RMS appelle le serveur RMS qui valide l’utilisateur et émet une « licence d’utilisation »
5. L’application compatible RMS affiche le fichier et rend obligatoire les droits d’accès et d’utilisation du fichier
1. L’auteur reçoit un certificat de licence la « première fois » qu’il protège les droits d’accès à une information
1
3
Sécu
rité
du p
atrim
oine
in
form
ation
nel
Réseau
Protection des données
Hommes et processus
Temps
Accès sécurisé n’importe où
Systèmes
La sécurité au service des métiers
IGNORER ?
CONTENIR ?
ADOPTER ?
BLOQUER ?
OUI
?
Qu’allez-vous faire ?
Consumérisation : Cadrer la politique
Contenir
Adopter
Ignorer
Bloquer
Atténuation des risques
Vale
ur p
our l
es m
étier
s L’informatique fournit• La politique et les standards• Les technologies • L’architecture d’entreprise• Les opérations et le support
L’informatique fournit• La politique
L’informatique fournit• Politique/Standards/Meilleures
pratiques• L’architecture d’entreprise• Les opérations, le support et le help
desk• La correction en cas problème• Niveaux de service pour la
disponibilité
L’informatique fournit• La politique et les standards• La mise en vigueur• L’auto-hébergement (par de support par
l’IT)
Consumérisation chez Microsoft
Contenir
Adopter
Ignorer
Bloquer
Atténuation des risques
Vale
ur p
our l
es m
étier
s
Self-Host
La consumérisation de l’informatique ne va pas forcément de pair avec perte de contrôle et brèche de sécurité ; au contraire ! L’énergie et le temps dépensés par une DSI pour censurer certains usages et outils peuvent être mieux employés à écouter, réguler et reconnaître la compétence de chaque collaborateur en lui offrant un cadre de travail personnaliséA condition de protéger le système d’information des abus et pratiques dangereuses, c’est un système bien plus motivant pour chacun, et partant plus efficace, qui peut être mis en place
Consumérisation : risque ou opportunité
Lâcher du lest sans perdre le contrôle !
LEADERSHIP
Forces de l’ordre
Démantèlement de Botnet Digital PhishNet
Politique publique
Global Phishing Enforcement Initiative
Sensibilisation des consommateurs
Partenariats industriels
Microsoft SecurityResponse Alliance
Anti-PhishingInitiative
Signal Spam
MERCI !
Microsoft France39, quai du président Roosevelt
92130 Issy-Les-Moulineaux
www.microsoft.com/france