palais des congrès Paris

7, 8 et 9 février 2012

Bernard OurghanlianDirecteur Technique et SécuritéMicrosoft France

La stratégie sécurité de MicrosoftCode Session : SEC2101

Sommaire

Le panorama de la sécurité

Security Development Lifecycle

Sécurité des produits

Le programme du RSSI de Microsoft - Consumérisation

Leadership et responsabilité de l’entreprise

La stratégie de Microsoft

Trustworthy Computing, L’informatique digne de confiance

Sécurité Vie Privée Fiabilité Pratiques commercialesSécurité• Sécurise contre les

attaques• Protège la confidentialité,

l’intégrité et la disponibilité des données et des systèmes

• Aide à gérer les risques

• Protège contre une communication non désirée

• Choix et contrôle par l’utilisateur• Produits, services en ligne qui

adhèrent à des principes d’information équitables

• Fiable, disponible• Service prévisible, cohérent,

réactif• Maintenable• Résilient, facilement restauré• Prouvé, prêt

• Engagement sur une interopérabilité centrée sur le client

• Leader de l’industrie reconnu, partenaire fiable

• Ouvert, Transparent

Importance croissante de l'identité

Attaques ciblées

Cloud Computing

Rôle de l’Etat

Consumérisation de l’informatique

Tendances informatiques et sociétales

It’s not just that software runs the power grid, the global financial system, and the armed forces

around the world, but that the fabric of society is connected through email,

browsing, social networking, search, and web applications.

Scott CharneyCVP Trustworthy Computing

Microsoft

Microsoft warns of phone-call

security scam targeting PC users

By Nathan Olivarez-Giles, June 17, 2011

Microsoft is warning its customers of a

new scam that employs "criminals posing

as computer security engineers and

calling people at home to tell them they

are at risk of a computer security threat."

Dans les nouvelles…Sony Finds More Cases of Hacking of Its ServersBy NICK BILTON , May 2, 2011

Sony said Monday that it had discovered that more credit card information and customer profiles had been compromised during an attack on its servers last week.

Expedia's TripAdvisor Member Data Stolen in Possible SQL Injection AttackBy Fahmida Y. Rashid, March 24, 2011

TripAdvisor discovered a data breach in its systems that allowed attackers to grab a portion of the Website's membership list from its database.

Nasdaq Confirms Breach in NetworkBY DEVLIN BARRETT, JENNY STRASBURG AND JACOB BUNGE FEBRUARY 7, 2011

The company that owns the Nasdaq Stock Market confirmed over the weekend that its computer network had been broken into, specifically a service that lets leaders of companies, including board members, securely share confidential documents.

Expect Attaques ciblées

after massive Epsilon email

breach, say experts.

Database of stolen addresses

is a gold mine for hackers

and scammersBy Gregg Keizer, April 4, 2011

The high-profile data breach Epsilon

Interactive reported April 1 caused quite a

stir, as the company noted on its web site

that “a subset of Epsilon clients' customer

data were exposed by an unauthorized entry

into Epsilon's email system.” BtoC brands

including Best Buy, Kroger and Walgreen

were among the estimated 2% (of Epsilon’s

approximately 2,500 clients) affected by the

attack.

RSA warns SecurID customers after company is hackedBy Robert McMillan, March 17, 2011EMC's RSA Security division says the security of the company's two-factor SecurID tokens could be at risk following a sophisticated

cyber-attack on the company.

Hack attack spills web

security firm's

confidential data By Dan Goodin in San Francisco Posted in

Security, 11th April 2011

Try this for irony: The website of

web application security provider

Barracuda Networks has

sustained an attack that appears

to have exposed sensitive data

concerning the company's

partners and employee login

credentials, according to an

anonymous post. Barracuda

representatives didn't respond to

emails seeking confirmation of

the post, which claims the data

was exposed as the result of a

SQL injection attack.

Microsoft Exposes Scope of Botnet ThreatBy Tony Bradley, October 15, 2010

Microsoft's latest Security Intelligence Report focuses on the expanding threat posed by bots and botnets.

Microsoft this week unveiled the ninth volume of its Security Intelligence Report (SIR). The semi-annual assessment of the state of computer and Internet security and overview of the threat landscape generally yields some valuable information. This particular edition of the Security Intelligence Report focuses its attention on the threat posed by botnets.

Expérience et réalisations de Microsoft

Trustworthy ComputingInitaitive (TwC)

Memo BillG

Microsoft Security Engineering

Center/Security Development

Lifecycle

Global Foundation

Services (GFS)

Malware Protection

Center

Microsoft SecurityResponse Center

(MSRC)

Certification SAS-70

Certification FISMA

Certification ISO 27001

Windows Update

1er Datacenter Microsoft

1989 1995 2000 2005 2010

ActiveDirectory

Stratégie sécurité de Microsoft

LES FONDAMENTAUX DE LA SECURITE

INNOVATIONS TECHNOLOGIQUES

LEADERSHIP

Formation

Exécuter le plan de

réponse sur incident

Réponse

Plan de réponse sur Incident

Revue Finale de Sécurité

Archivage de la version

Version

Analyse dynamique

Fuzz Testing

Revue de la surface

d’attaque

Vérification

Utiliser les outils autorisés

Déprécier les fonctions non

sûres

Analyse statique

ImplémentationEtablir les

exigences de la conception

Analyser la surface

d’attaque

Modéliser les menaces

Conception

Etablir exigences de sécurité

Etablir niveaux qualité /bogues

Evaluation de risques sécurité

et vie privée

Exigences

Formation sécurité de

base

Microsoft Security Development LifecycleTravailler pour protéger nos utilisateurs…

Réduire les vulnérabilités, limiter les sévérités des exploits

Améliorations permanentes du processus – Cycle de 12 mois

Education

Imputabilité

Administrer et suivre la formation en sécurité

Réponse sur Incident(MSRC)

Etablir des critères pour la

sortie d’une version et

approbation (RFS)

Processus

Aider les équipes produits à se conformer aux exigences de SDLLES FONDAMENTAUX

DE LA SECURITE

INNOVATIONS TECHNOLOGIQUES

LEADERSHIP

TERMINAUX

Le panorama de la sécurité

APPS

PROTECTION DE L’INFORMATION

CONTRÔLE D’ACCESS

ANTI-MALWARE

GESTION DES POLITIQUES

RECHERCHE & REPONSE

DEVELOPPEMENTSECURISE

Cloud Privé Cloud Public

Sur place Online

Technologies Microsoft et Ressources

TERMINAUX

Cloud Privé Cloud Public

PROTECTION DE L’INFORMATION

CONTRÖLE D’ACCESS

ANTI-MALWARE

GESTION DES POLITIQUES

RECHERCHE & RERPONSE

DEVELOPPEMENTSECURISE

Sur place Online

Protection du Client de bout en bout

Universal Extensible Firmware Interface (UEFI) Trusted Platform Model (TPM)

Comptes utilisateurs Windows standardUser Account Control et AppLockerApplications ModernesSecurity Development Lifecycle (SDL)

• Maintenir le logiciel avec une solution de gestion des correctifs• Fournir du logiciel sécurisé par conception• Opérer une plateforme et des applications

résistantes aux malwares

Protéger contre et gérer les menaces

Windows 7 BitLockerMDOP -BitLocker Administration and MonitoringOffice Information Rights Management (IRM)Windows Encrypted File SystemActive Directory Rights Management Services

• Sécuriser les données au repos avec du chiffrement• Protéger les données en mouvement avec

le chiffrement• Protéger les données en utilisation avec des

contrôles d’accès

Active DirectoryDirect AccessNetwork Access ProtectionContrôle d’accès dynamique

• Gérer tout le cycle de vie de l’identité• Valider l’identité des utilisateurs avec

l’authentification forte• Accès distant sécurisé et toujours

connecté• Protéger les ressources alors que

l’environnement change

Protéger les données sensibles

Sécuriser l’accès aux ressources

Scé

nari

os

Pro

duit

sFo

nct

ionnalit

és

Boot sécuriséBoot mesuréVue protégéeSmart Screen IE

Windows Phone

Fondamentalement sécurisé pour vous aider à protéger vos informations business

Renforcé

Isole les appsEvite le vol de donnéesCertifie les apps

Géré

Politiques EASEffacement à distanceIRM

Apps dignes de confiance

Cible la distributionChiffre les donnéesPrêt au Cloud

Environnement Cloud Microsoft

Services de la Plateforme Cloud

Infrastructure Cloud

Services Cloud

Services Consommate

ur et PME

Services Enterprise

Services tiers hébergés

Global Foundation Services

Sécurité Global SoutenableInfrastructure

Services tiers hébergés

Services Cloud

Vous aider à vous conformer à vos exigences de conformité

Infrastructure Cloud

Services de la plateforme Cloud Services Cloud

Utilisateurs

Données

Application

Hôte

Réseau

Physique

Fournisseur du Cloud

Consommateur du CloudServices de la

plateforme Cloud

Infrastructure Cloud

Services consommateu

ret PME

Services Enterprise

Capacités de l’infrastructure Microsoft en termes de conformité

Certification ISO / IEC 27001:2005

Attestations SAS 70 Type I et II(En cours de transition vers SSAE 16/ISAE 3402 SOC 1, 2, et 3)

HIPAA/HITECH (US seulement)

Certification standard de sécurité des données PCICertification et accréditation FISMA (US seulement)Conformité à diverses lois en termes de vie privée95/46/EC, c.à.d.. Directive Européenne de protection des donnéesClauses standards (en conformité avec les demandes du groupe de l’article 29)

Sécurité de la plateforme Cloud

Couche Défenses

Utilisateur • Gestion des comptes, formation et sensibilisation, dépistage• Service de contrôle d’accès ouvert et interopérable

Données • Clés de stockage fortes pour le contrôle d’accès• Support de SSL pour les transferts de données entre toutes les parties

Application • Code front-end écrit avec le .NET framework en mode partial trust• Comptes à faibles privilèges

Hôte • Version allégée de Windows Server 2008 R2• Frontières du hôte rendues obligatoires par un hyperviseur externe

Réseau • Pare-feu hôte limitant le trafic vers les VM• VLAN et filtres de paquets dans les routeurs

Physique • Fourni par Global Foundation Services

Safe Harbor EU-US Oui

Certification ISO / IEC 27001:2005

Oui

SSAE 16 Mi-2012

HIPAA BAA Planifié

PCI DSS Planifié

FISMA Planifié

Conformités

Sécurité des services Cloud

ConformitésCertification ISO / IEC 27001:2005

Oui (depuis la sortie)

SAS-70 Type I (SSAE SOC 1 Type I)

Oui

SAS-70 Type II(SSAE SOC 1 Type II)

2ème semestre 2012

FISMA 1er semestre 2012

HIPAA/BAA Exchange Online : Oui Lync Online: OuiSharePoint Online: 1er semestre 2012

« Model Clauses » Européennes

• EU Safe Harbor – Oui• Peut être signé pour les clients en AE

depuis le 1er juin 2011, effectif depuis Q4 2011

• Effectif pour tous clients depuis Q4 2011

Accord de traitement de données

Peut être signé depuis le 1 juin 2011 au sein d’un AE

Couche Défenses

Utilisateur • Gestion des comptes, formation et sensibilisation, dépistage

Données • Contrôle d’accès et surveillance, intégrité des fichiers/données

Application

• Ingénierie sécurisée (SDL), contrôle d’accès et surveillance, anti-malware, S/MIME

Hôte • Contrôle d’accès et surveillance, anti-malware, gestion de patch et de configuration

Réseau • Interne : Authentification à deux facteurs, détection d’intrusion, analyse des vulnérabilités

• Externe : Routeurs de bordure, détection d’intrusion, analyse des vulnérabilités

Physique • Fourni par Global Foundation Services

Windows Server

Windows Server Core

File Classification Infrastructure

Direct Access

Bitlocker

Isolation de Serveur et de domaine

Network Access Protection

Signature du code en mode Kernel

Architecture basé sur une architecture micronoyau

Hyperviseur à accès restreint

Isolation complète de l’invité

Surveillance et politiques rendues obligatoires par la

partition parente

Management par System Center

Active Directory

Read-Only Domain Controller

Federation Services

Rights Management Services

Certificate Authority Services

Intégration des Services Cloud

Forefront Identity Manager

Sécurisé à la base Virtualisation de Serveur et Cloud Privé

Gestion d’identités et de politiques

Microsoft SQL ServerAider à faciliter de mise en conformité des organisations

Chiffrement de données transparent

Chiffrement de la sauvegarde

Gestion extensible de clés

Améliorations du chiffrement

Protection des données Contrôle d’accès Assurer la conformité

Aide à protéger vos données avec une solution de base de données

connue historiquement pour disposer du plus faible nombre de

vulnérabilités du marché

Contrôle d’accès à vos données en gérant efficacement

l’authentification et l’autorisation et en ne fournissant l’accès qu’aux

utilisateurs autorisés

Assure la conformité avec les politiques de l’entreprise ou

les réglementations telles que SOX, LSF, PCI, et Critères

CommunsAuthentification Kerberos

Rôles Serveur définis par l’utilisateur

Schéma par défaut pour les groupes

Authentification base de données confinée

Gestion basée sur les politiques

Audit défini par l’utilisateur, filtrage et résilience

Audit SQL Server Audit dans touts les versions

Changement de la capture des données

Exe

mple

s

Whitepaper “SQL Server Delivers Industry-Leading Security” by ITIC, a leading analyst firmWhitepaper “Supporting HIPAA Compliance with SQL Server,” by Information Security Center of

Expertise at Jefferson Wells International, Inc, a leading Risk Advisory and Security Compliance services organization.

Whitepaper “Deploying SQL Server Based on Payment Card Industry Data Security Standards (PCI DSS 2.0),” by certified audit firm, Parente Randolph (now ParenteBeard).

KB Support Article How to use SQL Server in FIPS 140-2 compliant mode

ProductivitéCommuniquer et collaborer de manière plus sécurisée en utilisant Exchange, SharePoint, Lync, and Office

Protection en plusieurs couches contre spam et

malware

Efficacité garantie par 5 SLA admettant contrepartie

financière

Contrôles au sein des produits afin d’aider les

utilisateurs à se protéger contre les menaces

Protection Complète

Règles de politique permettant d’inspecter les

mails en transit

Intégration avec AD RMS pour protéger les données

sensibles

Chiffrement de bout en bout des communications

Sécurité de l’Information

Administration, reporting et audit intégrés

Contrôle granulaire sur les accès et les permissions des

utilisateurs

Politiques de sécurité pour les terminaux mobiles et

effacement des terminaux à distance

Visibilité et Contrôle

L’agenda du RSSI de Microsoft

Source: “Trends in Information Protection for 2008” Presentation for SC Magazine WebCast, January 9, 2008

• IntellectualProperty

Protection• Increased Data

Leakage and Portability

• Insider Threats• Risk Management vs. Risk Elimination • Business • Continuity

• Support for Rapidly Changing Business

• Need for Improved Business Intelligence

• Building robust continuity plans

• Deliver First and Best (products & services)

• Better Integration with Board/ERM

• Vendor and 3rd Party Management

• Asset and Configuration Management

• Executive Reportingand Metrics

• Awareness and training

MSIT

(RSSI)

+ 100 pays

190 000 utilisateurs

+ 1000 applications

8 Datacenters de production

10 000 serveurs de

production

+ 12 000 machines

virtuelles

1,3 million de terminaux

microsoft.com, 1,7 Milliards de hits/jour

7 Millions spam filtrés par jour

85 Millions IM par mois

34 000 sessions de collaboration virtuelle par mois

41 000 terminaux WP 7

+ 700 000 Sites SharePoint

• “Cloud” Computing _• Data Loss

Prevention • SIEM Platforms and

Programs • IAM Governance

and Process • Emerging

technologies

+ 102 000 Clients Windows 7

Une seule instance SAP surSQL Server 2008 R2

+ 109 000 Clients Office 2010

49 % des utilisateurs sur OCS/Lync

Import des usages innovants depuis la maison Exemple du succès des téléphones portables dans

l’entreprise Messagerie instantanée ou réseaux sociaux

« Floutage » de la frontière entre la maison et le bureau Massification de l’utilisation des PC portables, des

tablettes, des Smartphones,…Changement de certaines politiques d’achat Contournement de la DSI par les métiers avec un achat

direct en mode « consommateur »…

La consumérisation et ses manifestations dans l’entreprise

Accès au patrimoine informationnel en fonction de

Qui vous êtes Lecture, Lecture/Ecriture, Contrôle complet

Quel est le niveau de confiance dansle terminal

Géré, non géréOù est le terminal

Réseau d’entreprise Internet Pays hostile

Quelques principes permettant la consumérisation

Le niveau d’accès augmente avec la confiance

Niv

eau d

’acc

ès

Niveau de confiance de l’IT

Géré

Applicationsmétiers

Documents

Email, calendrier,

contacts

Non géré

Accès aux documents internes et aux sites à travers l’Internet

Plein accès aux applications métiers

sur le réseau d’entreprise

Possibilité d’ouvrir des messages email protégés par un Digital Rights

Management (DRM)

Possibilité d’accéder aux emails, calendrier et contacts

Accès aux applications métiers dans le Cloud

Accès au stockage de documents dans le Cloud

Isolation Isolation de serveur et de domaine (IPSec) Contrôle de l’état de santé des terminaux - Network Access

Protection (NAP) Services de gestion de droits numériques – Rights Management

Services - RMSAccès

Unified Access Gateway (UAG) Terminal Server Access Gateway (TSG) Virtual Desktop Infrastructure (VDI) Remote Desktop Services (RDS) Application distante RDS

Technologies permettant la Consumérisation

Indigne de confiance

Ordinateur non géré

Isolation de domaine

Contrôleur de domaine Active Directory

X

Isolation de serveur

Serveurs avec des données sensiblesStation RH

Ordinateur géré

X

Ordinateur géré

Serveur de ressources digne de confiance

Réseau d’entreprise

Definir les frontières d’isolation logiquesDistribution des politiques et des crédentitésLes ordinateurs gérés peuvent communiquerBloquer connexions entrantes depuis ordi. indignes de confiancePermettre les accès aux ressources sensibles

Isolation de serveur et de domaine

Isolation : Network Access Protection

Network Access ProtectionSolution basée sur des politiques qui :• Valide si les ordinateurs sont

conformes aux politiques de « santé »• Limite les accès des ordinateurs non conformes• Corrige automatiquement

les ordinateurs non conformes• Met à jour en continu les ordinateurs conformes pour maintenir leur état de santé

Les points forts de la solutionFondée sur des standardsPlug and PlayFonctionne avec la plupart des terminauxSupporte plusieurs solutions antivirusEst devenu le standard pour le contrôle d’accès réseau

Clients

Partenaires

Employés distants

Intranet

Internet

Network Access ProtectionComment cela fonctionne-t-il ?Accès demandé

Etat de santé envoyé auNetwork Policy Server (RADIUS)

Le NPS autorise en fonction de la politique de santé

Si conforme, accès donné

Si non conforme,accès restreint au réseau et remédiation

NPS Microsoft

Réseau d’entreprise

Serveurs de politiquesPatch, AV,…

DCHP, VPNSwitch/Routeur

Réseau restreint

Serveurs de remédiation

Patch, AV,…

Non conforme à la politique

Conforme à la politique

1

3

5

4

1

3

4

5

2

2

Protéger le capital intellectuel : Flux RMS

Auteur utilisant Office Le destinataire

Windows Server tournant RMS

SQL Server Active Directory

2

3

4

5

2. L’auteur définit un ensemble de droits d’usage et de règles pour ses fichiers, l’application crée une « licence de publication » et chiffre le fichier

3. L’auteur distribue le fichier

4. Le destinataire clique sur le fichier pour l’ouvrir, l’application compatible RMS appelle le serveur RMS qui valide l’utilisateur et émet une « licence d’utilisation »

5. L’application compatible RMS affiche le fichier et rend obligatoire les droits d’accès et d’utilisation du fichier

1. L’auteur reçoit un certificat de licence la « première fois » qu’il protège les droits d’accès à une information

1

3

Sécu

rité

du p

atrim

oine

in

form

ation

nel

Réseau

Protection des données

Hommes et processus

Temps

Accès sécurisé n’importe où

Systèmes

La sécurité au service des métiers

IGNORER ?

CONTENIR ?

ADOPTER ?

BLOQUER ?

OUI

?

Qu’allez-vous faire ?

Consumérisation : Cadrer la politique

Contenir

Adopter

Ignorer

Bloquer

Atténuation des risques

Vale

ur p

our l

es m

étier

s L’informatique fournit• La politique et les standards• Les technologies • L’architecture d’entreprise• Les opérations et le support

L’informatique fournit• La politique

L’informatique fournit• Politique/Standards/Meilleures

pratiques• L’architecture d’entreprise• Les opérations, le support et le help

desk• La correction en cas problème• Niveaux de service pour la

disponibilité

L’informatique fournit• La politique et les standards• La mise en vigueur• L’auto-hébergement (par de support par

l’IT)

Consumérisation chez Microsoft

Contenir

Adopter

Ignorer

Bloquer

Atténuation des risques

Vale

ur p

our l

es m

étier

s

Self-Host

La consumérisation de l’informatique ne va pas forcément de pair avec perte de contrôle et brèche de sécurité ; au contraire ! L’énergie et le temps dépensés par une DSI pour censurer certains usages et outils peuvent être mieux employés à écouter, réguler et reconnaître la compétence de chaque collaborateur en lui offrant un cadre de travail personnaliséA condition de protéger le système d’information des abus et pratiques dangereuses, c’est un système bien plus motivant pour chacun, et partant plus efficace, qui peut être mis en place

Consumérisation : risque ou opportunité

Lâcher du lest sans perdre le contrôle !

LEADERSHIP

Forces de l’ordre

Démantèlement de Botnet Digital PhishNet

Politique publique

Global Phishing Enforcement Initiative

Sensibilisation des consommateurs

Partenariats industriels

Microsoft SecurityResponse Alliance

Anti-PhishingInitiative

Signal Spam

MERCI !

Microsoft France39, quai du président Roosevelt

92130 Issy-Les-Moulineaux

www.microsoft.com/france