Sécurité

La stratégie sécurité de Microsoft

Bernard OurghanlianCTO & CSO

Microsoft France

bourghan@microsoft.com, @Ourghanlian

Sommaire

Le panorama de la sécurité

Quelques détails

En guise de conclusion

La stratégie sécurité de Microsoft

Les grandes tendances technologiques

Mobile

65% des entreprises déploient au moins un outil de réseau social

Social Cloud

Le contenu numérique représente

Plus de 80% des nouvelles Apps ont été distribuées ou déployées sur/depuis des Clouds en 2012

Big Data

70% des organisations utilisent déjà ou investiguent des solutions de Cloud Computing

D’ici 2016, les

smartphones et les tablettes seront entre les mains de 1 milliard de consommateurs dans le monde

La population des collaborateurs mobiles représentera

80% de croissance des données non structurées dans les 5 prochaines années1,3 milliard soit plus de

37% du total de la main d’œuvre en 2015

La génération Y représentera

75% de la main d’œuvre aux US en 2025

2,7 ZO* en 2012, en progression de 48% depuis 2011, et représentera 8 ZO en 2015

* 1 ZO = 2021 octets

De nombreuses menaces, actives et en évolution

Grandes tendances• Du côté des attaquants• Emergence d’adversaires déterminés et bien équipés• Amélioration drastique des outils d’attaque et de leur

automatisation • Ciblage spécifique des organisations, des gens et des données

• Du côté des défenseurs• Les environnements informatiques ne sont pas conçus pour les

types d’attaque visant à voler les crédentités et à se rendre maitre du SI

• Les compétences en sécurité du SI tentent de défendre chaque système de la même manière

• Les préoccupations d’impact sur la réputation nuisent à la collaboration des défenseurs

Le modèle traditionnel de la sécurité des SI

Evolution des menaces Sans discrimination Ciblée Cible consommateur Cible entreprise Vecteur unique Vecteurs multiples Manuelle Automatisée Poste de travail Terminal et Cloud Visible Dissimulée Acteur solitaire Ecosystème organisé Spam Vol d’information Vol d’information Destruction d’information

Le modèle traditionnel de sécurité des SI n’est plus adapté !

Sommaire

Le panorama de la sécurité

Quelques détails

En guise de conclusion

La stratégie sécurité de Microsoft

2003 2004 2006 2008 2009 2010 20122001 20132000 2002 2005 2007 2011

TwC NextBlaster / Slammer

Mis à bas de plusieurs Botnet de très grandes taillesWindows XP

Formation du Microsoft Malware Protection Center

Boot sécurisé UEFI pour Windows 8

1,14 milliard d’utilisateurs d’Internet

Windows Vista BitLocker et UAC

Mémo de Bill Gates

Début du Security Development Lifecycle (SDL)

Publication de Simplified SDL et de SDL Agile

Mise à disposition de Windows 7, IE8, Security Essentials

389 millions d’utilisateurs d’Internet

> 2,4milliards d’utilisateurs d’Internet

Vol et abus d’identités

Microsoft et la sécurité : 2 décennies de perspective et de progrès

L’initiative pour l’informatique de confiance

= Tablet SecuritySûr et disponible

Service prévisible, cohérent, réactif

Maintenable

Résilient, facile à restaurer

Prouvé, prêt

Sécurité Vie privée Pratiques commercialesFiabilité

Sécuriser contre les attaques

Protéger la confidentialité, l’intégrité et la disponibilité des données et des systèmes

Aider à gérer les risques

Protéger contre une divulgation non désirée

Choix et contrôle de l’utilisateur

Les produits et les services en ligne adhèrent à des principes d’information équitables

Engagement sur une interopérabilité centrée sur les préoccupations de nos clients

Ouvert, transparent

StratégieSécurité

Forte tension aujourd’huiEntre l’innovation métier et les besoins en termes de cyber-sécurité

Innovation Métier

Cloud Big Data

SocialMobile

Besoins cyber-sécurité

Gestion d’identité

Gestion de Configuration

Gestion des menaces

Réponse forte

Une technologie conçue à dessein…Peut conduire au succès des métiers…

= Tablet Security

Faire un pont entre Innovation et Sécurité

Politiques et

Procédures

Les employés utilisent en toute sécurité les postes de leur choix

Mobile

Connecter les gens et accélérer la collaboration sécurisée

Social

Etendre votre business au Cloud tout en protégeant vos données

Cloud

Tirer parti du Big Data pour améliorer la sécurité

Big Data

Prolifération des terminaux personnels et d’entreprise

Changer la façon dont les gens communiquent et collaborent

Accès flexible et dynamique pour des services Cloud publics, privés, hybrides

Intelligence et analyse pour l’atténuation des menaces

= Tablet Security

Permettre aux utilisateurs d’utiliser en sécurité les

terminaux qu’ils choisissent

Gestion des terminaux

Prévention des malwares, intrusions et menacesProtection des données

Contrôles basés politique

Mobile

Supporter des collaborateurs mobiles avec un meilleur management et un meilleur contrôle

= Tablet Security

Connecter les gens entre eux et accélérer la

collaboration sécurisée

Contrôles d’accès

Conformité et politique

Protection de l’information

Social

Sécurisé et productif, expériences familières et connectées

= Tablet Security

Etendre le business au Cloud tout en protégeant les

données

Créer une infrastructure moderne

Gestion d’identité

Contrôle d’accès dynamique

Audit et certification

CRM Online

Cloud

= Tablet Security

Vous aider à faire évoluer en permanence votre stratégie sécurité

Tirer parti du Big Data pour améliorer la

sécuritéRéponses améliorées

Intelligence et analyse

Compréhension des menaces émergentes

Big Data

Sommaire

Le panorama de la sécurité

Quelques détails

En guise de conclusion

La stratégie sécurité de Microsoft

Le déploiement et la gestion des applications sur l’ensemble des plateformes est complexe.

Applications

Les défis actuels

Les utilisateurs veulent pouvoir travailler depuis n’importe où et avoir accès à toutes les ressources.

Utilisateurs

Données

Les utilisateurs doivent être productifs tout en respectant la contraintes de conformité et en limitant les risques.

L’explosion et la diversité des appareils mobiles remet en cause l'approche basée sur les standards IT de l'entreprise.

Appareils

Utilisateurs

Une IT centrée sur les utilisateurs

Donner le choix aux utilisateurs

Permettre aux utilisateurs de travailler à partir de l’appareil de leur choix et offrir un accès cohérent aux ressources de l’entreprise.

Unifier l’environnement

Fournir une gestion unifiée des applications et des appareils à demeure et dans le Cloud.Protéger les données

Aider à protéger les informations de l’entreprise et gérer les risques.

Accès. Protection. Administration.

DonnéesAppareils Applications

Vision Sécurité Microsoft

Classification & Protection des donnéesCentralisation des informations d’entreprise pour le respect de la conformité et la protection des données

Chiffrement automatique des données basé sur la classification des documents

Protection des données sur tous les appareils mobiles

Gestion des identités et des accèsUne identité unique pour l’accès aux ressources à demeure et dans le Cloud

Une connexion automatique aux ressources internes à la demande

Contrôle d’accès aux applications et données basées sur des politiques de sécurité

√

Gestion de la sécurité

Analyse de risques Cloud

Changer de manière durable les pratiques d’administration

Gestion des appareils et des applications

Gestion des identités

Défis Solutions

Offrir aux utilisateurs une identité commune pour l’accès à des ressources hébergées sur site dans un environnement d'entreprise, et sur des plateformes Cloud.

Gérer des identités multiples et maintenir l’information synchronisée entre les environnements est une charge pour les ressources IT.

Les utilisateurs bénéficient d’une expérience de signature unique (SSO) pour l’accès aux ressources, indépendamment de la localisation.

Les utilisateurs et l’IT peuvent tirer parti de l’identité commune pour l’accès aux ressources externes à travers la fédération

L’IT peut gérer de manière cohérente les identités sur site et dans le Cloud.

Gérer les identités à l’échelle du Cloud

Les Développeurs peuvent construire des applications s’appuyant sur le modèle d’une identité commune

L’IT peut fournir aux utilisateurs une identité commune pour les services à demeure ou dans le Cloud en tirant parti de Windows Server Active Directory et de Windows Azure Active Directory

Les utilisateurs bénéficient d’une signature unique (SSO) pour toutes leurs ressources (internes, applications de Windows Azure, Office 365 et applications tierces)

L’IT peut configurer les applications SaaS les plus populaires depuis la galerie des applications

Défis Solutions

Les utilisateurs veulent utiliser l’appareil de leur choix et avoir accès aux applications, données et ressources tant personnelles que professionnelles.

Les utilisateurs veulent disposer d’un moyen simple pour accéder à leurs applications professionnelles depuis n’importe où.

Les départements IT veulent mettre en place ces scénarios pour les utilisateurs mais doivent également contrôler l’accès aux informations sensibles tout en restant en conformité vis-à-vis des politiques réglementaires.

Les utilisateurs peuvent enregistrer leurs appareils, ce qui les rend connus de l’IT, qui peut utiliser l’authentification de l’appareil pour l’accès aux ressources de l’entreprise.

Les utilisateurs peuvent enrôler leurs appareils ce qui leurs donne l’accès au portail de l’entreprise offrant un accès cohérent aux applications et données, en plus de la gestion de leurs appareils.

L’IT peut publier l’accès aux ressources de l’entreprise avec un contrôle d’accès basé sur l’identité de l’utilisateur, l’appareil qu’il utilise et sa localisation.

Gestion des accès

Accès conditionnel sur contexte et sensibilité des données

Identité

Niveau de confiance de l’appareil

Niveau de confiance de la localisation

Le contexte d’accès inclut les caractéristiques de l’identité présentée, le niveau de confiance du terminal mobile, la localisation et la force de l’authentification

Force de l’authentification

Les politiques d’accès définissent les règles d’accès en fonction du contexte et de la sensibilité des services et données accédés

Les données et services sont classifiés selon les règles de l’entreprise et en respect des réglementations

Authentification multi-facteurs (MFA)1. L’utilisateur tente de se connecter ou de faire une action sujette à MFA

2. Quand l’utilisateur s’authentifie, l’application ou le service effectue un appel au service MFA3. L’utilisateur doit répondre à un challenge (SMS, un appel téléphonique ou application mobile)

5. L’IT peut configurer le type et la fréquence de la sollicitation MFA à laquelle l’utilisateur doit répondre

4. La réponse est retournée à l’application qui autorise l’accès à l’utilisateur

Utilisateur

Appareils

Apps & Data

Appareils Windows 8.1

Augmentation de la résistance aux malwares en intégrant un anti-malware de base, en sécurisant la séquence de démarrage et en diminuant la surface d’attaque des sous-systèmes de sécurité

Renforcement de la confiance dans l’authentification par la protection des identités avec la carte à puce virtuelle et l’intégration en standard de la biométrie

Protection des données sensibles dans un contexte BYOD avec le chiffrement du périphérique pour toutes les déclinaisons de l’OS et l’effacement sélectif des données entreprise

Utilisation de services en ligne SaaS pour valider l’état de santé de l’appareil (Provable PC Health) et la réputation des sites et applications (Smartscreen) pour un écosystème plus sûr

Renforcement de la sécurité par le matériel Utilisation du TPM et UEFI pour sécuriser la séquence de démarrage, garantir l’intégrité, chiffrer le disque, protéger les identités

Une connexion VPN automatique offre un démarrage transparent du VPN dès lors qu’une connexion internet est présente ou bien lorsque l’utilisateur lance une application qui nécessite un accès aux ressources de l’entreprise

VPN

DirectAccess

Appareils Windows Phone 8 avec EFP Cycle de vie des applications avec

possibilité de déployer (mode push) les apps, mise à jour ou suppression en mode silencieux. Mise à disposition d’applications du Windows Phone Store depuis le MDM et liste des apps installables ou bloquées.

Gestion des certificats : cycle de vie géré depuis le MDM; utilisation pour authentification utilisateur, Wi-Fi, VPN, navigateur, applis métier; Support S/MIME et des cartes à puce virtuelles

VPN auto-déclenché avec client intégré compatible avec la plupart de VPN avec un profil par application

Chiffrement de l’appareil y compris pour les applications et données stockées sur micro-SD. Photos, musiques et vidéos restent non-chiffrées

Wi-Fi Entreprise avec support de l’authentification par certificat, profils de configuration Wi-Fi et certificats distribués par MDM et politiques Wi-Fi avancées

Intégration MDM avec client OMA SynchML intégré et possibilité de personnaliser l’expérience utilisateur d’enrôlement

Classification et protection des données

Défis Solutions

Les utilisateurs apportent leurs propres appareils au travail, veulent accéder à des informations sensibles y compris localement sur l’appareil.

Une quantité importante de données d'entreprise peut être trouvée localement sur les appareils des utilisateurs.

L’IT doit être en mesure de sécuriser, classifier et protéger les données en fonction du contenu, et pas seulement en fonction de leurs localisations, tout en respectant les contraintes réglementaires.

Les utilisateurs peuvent travailler sur l'appareil de leur choix et être en mesure d'accéder à toutes leurs ressources, indépendamment du lieu ou de l’appareil.

L’IT peut appliquer de manière centralisée un ensemble de politiques d'accès et d'audit, et être capable de protéger les informations sensibles en fonction du contenu des documents.

L’IT peut auditer et établir des rapports sur l’accès à l’information.

√

Classification des données avec Dynamic Access Control

Classification – Définition de propriétés de classification sur la base de catégories prédéfinies (Informations privées, Sécurité de l’information, données légales,…) avec extension possible selon le contexte client

Contrôle de l’accès aux fichiers – Des politiques d’accès centralisées permettent aux entreprises d’appliquer des politiques de sécurité. Par exemple, il est possible de définir qui peut accéder à des informations concernant des dossiers de santé dans l’entreprise.

Revendications utilisateur et appareil – Les revendications utilisateur/ appareil sont définies en plus des groupes pour être utilisées comme conditions d’accès à des informations classifiées

Classification automatique – Les règles de classification sont appliquées de manière continue par le moteur de classification de fichiers en fonction des propriétés de ressource et du contenu des documents

Protection des données avec Dynamic Access Control

Administration centralisée des politiques de contrôle d’accès et d’audit depuis l’annuaire Active Directory.

Classification automatique basée sur le contenu. La classification s’applique à la création ou modification des fichiers.

L’intégration avec Active Directory Rights Management Services offre un chiffrement automatique des documents.

Les politiques d’accès et d’audit centrales peuvent s’appliquer sur des ensembles de serveurs de fichiers, avec une classification en quasi-temps réel à la création ou modification des documents

La classification, les politiques d’accès et l’application automatique des droits d’usage (RMS) s’exercent sur les données distribuées sur les clients à travers les Work Folders.

Travailler et collaborer sur les données d’entreprise

Appareils

Apps compatibles RMS

Serveurs de collaboration

Serveurs de fichiers

Azure RMS reçoit et valide les demandes d'authentification et autorisation et en échange distribue des licenses numériques

Ajouter facilement un service de protection RMS aux serveurs collaboratifs et à demeure tels que ceux exécutant Exchange et SharePoint.

Les utilisateurs peuvent collaborer avec des partenaires et sur tous les appareils importants.

Les fichiers qui contiennent des données sensibles sont protégés automatiquement

Office 365 bénéficie de la fonctionnalité RMS

Gestion de la sécurité

Défis Solutions

Les utilisateurs sont de plus en plus exigeants et demandent à l’IT des solutions modernes.

L’infrastructure du système d’information est de plus en plus complexe avec un nombre important de compte à hauts privilèges.

Le nombre et la diversité des appareils augmentent dans l’organisation.

Les métiers abordent la sécurité sous l’angle de la gestion des risques.

L’IT change de manière durable les pratiques d’administration.

L'IT connait et maintient la sécurité des appareils et des applications qui sont utilisées.

L'IT peut auditer et vérifier l’efficacité des mesures de sécurité.

Sécurité Office 365/Azure – Les engagements

Les clients restent propriétaires des données qu’ils stockent dans le Cloud Microsoft. Ils peuvent télécharger à tout moment et sans assistance de Microsoft une copie de l’ensemble des données.

Microsoft s’engage à ne PAS utiliser les données de ses clients à des fins publicitaires et à ne pas en tirer des informations à de quelconques fins commerciales.

Toutes les applications Microsoft déployées dans les centres de données Microsoft ont été soumises à un processus de cycle de vie de développement sécurisé, le Security Development Lifecycle (SDL), initié par Microsoft dès 2004.

Concernant la sécurité physique, Microsoft utilise des utilise une combinaison de technologies innovantes ainsi que des mesures physiques traditionnelles.

Nous pensons que la confiance passe par la transparence. Ainsi, un Trust Center est disponible pour les services Cloud Microsoft.

Avec Office 365, le client connaît les pays où se trouvent les centres de données Microsoft dans lesquels ses données sont stockées.

Sécurité Office 365/Azure – Pour aller plus loin

Surveillance

permanente

Isolation des

données clients

Réseau sécurisé

Données chiffrées

Automatisationdes

opérations

Cycle de vie de

développement

sécurisé

Authentification multi-facteur

Antivirus/AntispamClassification et protection des messages/documents

Contrôle de l’authentification

Gestion des identitésPolitique de sécurité

Fédération d’identitéAudits

Exchange ActiveSync

Windows Azure MFA

Windows Azure Active Directory

Exchange Online Protection

Message EncryptionAzure RMS

S/MIMEDLP

Analyse de risques CloudL’analyse de risques Cloud permet de prendre une décision basée sur des critères factuels plutôt que sur des impressions sans se concentrer uniquement sur des critères techniques

L’analyse de risques Cloud est basée sur les travaux de la Cloud Security Alliance, elle évalue un ensemble exhaustifs de 15 domaines dans les catégories Gouvernance, Technique, Opérations et Business

La démarche évalue la tolérance aux risques de l’entreprise, les risques liés à la solution Cloud visée et compare ensuite les résultats domaine par domaine

L’outillage sous forme de questionnaire accompagne la démarche, fournit visuellement les résultats et permet d’ajuster en fonction des contre-mesures présentées

Les résultats permettent d’envisager des stratégies d’atténuation des risques, d’acceptation des risques résiduels, ou d’orientation vers des solutions Cloud privé ou hybride

L’analyse permet de faire ressortir les critères cruciaux dans le choix du fournisseur de Cloud et d’évaluer la propre maturité de l’entreprise pour l’adoption de solutions dans le nuage

Lutte contre Cybercriminalité

Défis Solutions

La cybercriminalité devient l’un des défis majeurs non seulement pour les états mais pour l’ensemble des citoyens

En France, plus de 10 millions de personnes ont été victimes de la cybercriminalité pendant cette période, engendrant près de 2,5 milliards d’euros de pertes

20% des entreprises ont déjà été attaquées par des personnes malveillantes et la moitié des internautes ont été victimes de cybercriminalité l’année dernière

Création du Microsoft Cybercrime Center à Redmond avec un équipe de 100 experts (avocats, techniciens, analystes…) ; Centre ouvert à des experts en sécurité venant d’autre entreprises ou organisations

Des outils pour cartographier les réseaux du crime organisé, de détection de la cybercriminalité au niveau mondial (Cyberforensics), d’aide au repérage des botnets actifs

Formation des forces de l’ordre (2CENTRE, Centre Expert de lutte contre la Cybercriminalité Français)

Signal Spam, Phishing Initiative,…

Sommaire

Le panorama de la sécurité

Quelques détails

En guise de conclusion

La stratégie sécurité de Microsoft

Vision Sécurité Microsoft

Classification & Protection des donnéesCentralisation des informations d’entreprise pour le respect de la conformité et la protection des données

Chiffrement automatique des données basé sur la classification des documents

Protection des données sur tous les appareils mobiles

Gestion des identités et des accèsUne identité unique pour l’accès aux ressources à demeure et dans le Cloud

Une connexion automatique aux ressources internes à la demande

Contrôle d’accès aux applications et données basées sur des politiques de sécurité

√

Gestion de la sécurité

Analyse de risque Cloud

Changer de manière durable les pratiques d’administration

Gestion des appareils et des applications

Sessions sécurité lors des Techdays : MardiTitre Heure et niveau

Gérer vos identités et vos accès pour le Cloud avec Windows Azure Active Directory (Premium)

12h15-13h00 (niveau : 300)

Windows Phone 8 et la sécurité 12h15-13h00 (niveau : 200)

BYOD : les nouveaux scénarios d'authentification adaptés au monde de l'entreprise

15h15-16h00 (niveau : 300)

Windows Azure Multi-Factor Authentication, presentation et cas d'usage

16h30-17h15 (niveau : 200)

Vous avez dit protocoles Web d'authentification et d'autorisation ! De quoi parlez-vous ?

17h45-18h30 (niveau : 300)

Sessions sécurité lors des Techdays : MercrediTitre Heure et niveau

Classifier vos données pour envisager sereinement le Cloud et le BYOD !

11h00-11h45 (niveau : 200)

Quoi de neuf pour les identités dans Office 365 ?

12h15-13h00 (niveau : 300)

Protéger vos données dans un contexte BYOD/Office 365 avec le nouveau service Microsoft RMS

15h15-16h00 (niveau : 200)

Protéger vos données à demeure avec le nouveau service Microsoft RMS et les boitiers HSM Thalès

16h30-17h15 (niveau : 300)

BYOD demo Extravaganza – Démonstration du « Bring Your Own Device » en entreprise

16h30-17h15 (niveau : 200)

Windows XP chronique d'une mort annoncée

17h45-18h30 (niveau : 200)

Sessions sécurité lors des Techdays : Jeudi

Titre Heure et niveau

Stratégie Bring You Own Device (BYOD) et nouvelles directions de solutions

12h15-13h00 (niveau : 200)

© 2014 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Digital is business