Mon offre de service Office 365 : quelles stratégies de sécurité pour répondre aux menaces actuelles ?

Ma nouvelle offre de service O365 :
Quelle(s) stratégie(s) de sécurité pour répondre
aux menaces et enjeux réglementaires actuels ?
#experiences17

Maxime Rastello
Chief Technology Officer @ AZEO
Microsoft MVP Enterprise Mobility
Sylvain Castillon
Business Solution Manager @ Exakis

Microsoft experiences’17#experiences17MON OFFRE DE SERVICE O365 : QUELLES STRATEGIES DE SECURITE ?
experiences.microsoft.fr #experiences17

RGPD/GDPR
Quelques mots clés sur les 6 derniers mois…

Une plateforme SaaS complète
Qui comprend EM+S & W10

Projet de migration clé de transition vers le Cloud
La sécurité, dans tout ça ?
Prise de conscience : nouveaux cas d’usages sécurité!

Un trait d’union entre…
Principe : tour d’horizon

Points d’entrée sur Office 365
Beaucoup de clients ne s’intéressent à l’ensemble des
services qu’après la migration

Quelles sont les fonctionnalités de sécurité intégrées
aux services Office 365 ?
Mon tenant est-il correctement configuré et sécurisé ?
Comment contrôler l’accès à mes services Office 365 ?

Fonctionnement
1. Analyse la sécurité de votre tenant
2. Analyse les activités de votre administrateurs
3. Dresse le bilan des bonnes pratiques Microsoft
4. Attribue un score final
Permet de réaliser un rapport d’étonnement sur la
configuration et la sécurité de votre tenant O365
 Fil conducteur pour l’établissement d’un plan d’action

Que pouvez-vous faire dès à présent ?
Identifiez les données
à caractère personnel
à votre disposition ainsi
que leur emplacement
Gérez l’accès aux
données à caractère
personnel et leur
utilisation
Mettez en place des
contrôles de sécurité pour
éviter, détecter et répondre
aux vulnérabilités et aux
piratages de données
Mettez en place des
demandes de données
et consignez la
documentation requise
Analysez les données
et les systèmes,
maintenez la conformité
et réduisez les risques
1 2 3 4 5
Rechercher Contrôler Protéger Signaler Examiner

Azure Active Directory Connect
et Connect Health
*
MIM
* Microsoft Azure
Active Directory
Application RH
Autres référentiels
PowerShell
SQL (ODBC)
LDAP v3
Web Services
( SOAP, JAVA, REST)
Application Web ou Native
(Application mobile, LOB App)Applications on-premise
(Sharepoint)
Applications SaaS
(Box, Salesforce)
Windows Server
Active Directory

Socle commun
• Outillé et interopérable
• Pierre angulaire pour l’accès
• Collaboration vers l’externe
Contrôle d’accès
• Intégration Azure MFA
• Accès conditionnels
Délégation & Self-Service
Rapports & Monitoring

Déploiement, en 2 temps
• Suggérée, 1er temps
• Effective ensuite
Cinématique, en 2 temps
1. Identification : Email ou Tèl.
2. Mode d’authentification
Objectifs
Rationnaliser l’expérience
Proposer de nouveaux modes d’auth.

Vol d’identité
• Réduire ce risque
Expérience autour du téléphone
• 2nd facteur
• Appel, SMS, expérience « APP »
Déclenchement conditionné

La gouvernance d’un tenant prend de multiples
formes
• Utilisation des services Office 365
 Portail d’admin Office 365
• Gestion des accès et privilèges
 RBAC Azure AD + Administrative Units
 Azure AD Access Review
 Azure AD Privileged Identity Management

Helpdesk Administrator
Service Support Administrator
Billing Administrator
Directory Readers (legacy)
Exchange Service Administrator
Lync Service Administrator
User Account Administrator
Directory Writers (legacy)
SharePoint Service Administrator
Compliance Administrator
Directory Synchronization Accounts
Security Reader
Security Administrator
Privileged Role Administrator
Ne pas utiliser
PowerShell + nouveau portail
PowerShell ou appli dédiée

Security Reader
• Lecture des rapports Identity Protection
• Lectures des rapports Privileged Identity
Management
• Accès à Office 365 Service Health
• Accès à Office 365 Security & Compliance
Center
Security Administrator
• Mêmes droits que Security Reader
• En plus : Administration de ces services
Company Administrator
• Même chose que Global administrator
• Seul habilité à attribuer d’autres permissions
admin
Service Support Administrator
• Monitorer l’état du service Azure
• Gérer les Service Requests
HelpDesk Administrator
• Réinitialiser les mots de passe
User Account Administrator
• Réinitialiser les mots de passe (limité à certains
rôles)
• Administrer les utilisateurs / groupes
Cloud Application Administrator
• Gérer les applications Saas et Web App Proxy
Conditional Access Administrator
• Gérer les règles d’accès conditionnel

Constat
• Manque de granularité dans les droits d’administration
• Les droits dans l’ancien et le nouveau portail Azure sont différents
Besoins
• Retranscrire la hiérarchie des permissions admin AD dans Azure
AD
• Limiter le champ d’actions des administrateurs
• Restriction des droits admin sur certains utilisateurs VIP

Groupe RBAC : User Account AdministratorAzure AD Directory
US UA Admin
UK UA Admin
US Users
UK Users
FR Users
FR UA Admin

Restrictions (Preview)
• Scope sur les utilisateurs uniquement
• 2 rôles attribuables (User Account et HelpDesk Administrator)
• Administration uniquement en PowerShell
Annonce Ignite
• Intégration dans le portail O365 (prochaines semaines)

Voir l’activités des rôles à privilèges
• Définition de la période d’audit
• Définition de la cible à auditer
• Membre d’un groupe
• Utilisateurs d’une app SaaS
Revue du rapport d’audit
• Statuer pour chaque compte
• Action recommandée proposée

Définir des administrateurs éligibles
• Basé sur les rôles RBAC Azure AD
Assigner des permissions admin
temporaires
• De 30min à 72h max
Approbation possible par un admin

De plus en plus de périphériques…
• PCs d’entreprise, PCs perso, Mac, tablettes…
• iPhone, Android et même… Windows Mobile ! (si si)
… qui consomment de plus en plus de services

Comment contrôler l’accès aux services Office 365
quel que soit le canal utilisé ?
Comment assurer une expérience unifiée sur tous les
périphériques ?
 Accès conditionnel et Microsoft Intune

Accès aux applications SaaS pour les appareils
• Enrollés dans Intune et marqués comme « conformes »
• Joints à un domaine AD et enregistrés dans Azure AD
• Dotés d’un client applicatif approuvé
Systèmes supportés
• Windows 7 (MSI + ADFS)
• Windows 8.1 / Windows 10 (Natif)
• iOS, Android, Windows Mobile
• macOS (new)
Clients : compatibles Authent’ Moderne
Navigateurs : IE11, Edge, Chrome (extension), Safari (new)

Accès aux applications SaaS
• Avec MFA obligatoire
• Avec MFA si en dehors de l’entreprise
• Blocage de l’accès si en dehors de l’entreprise
Définition de la localisation
• Basée sur l’IP publique de l’utilisateur
Définition du périmètre de l’entreprise
• Plages d’IP publiques
• Choix des pays
Navigateurs : Tous

Accès aux applications SaaS pour les utilisateurs
• Détectés comme « à risque » via Identity Protection
• 3 niveaux de risque : Low, Medium ou High
Navigateurs : Tous

Accès conditionnel pour l’accès VPN
Accès conditionnel + Terms of Use
Autres contrôles au lieu du MFA
• RSA, Duo ou Trusona
Session Control
• SharePoint Online
• Cloud App Security (new)

Démo
Risk-based conditional access

Des données de plus en plus volatiles…
• Synchronisation des emails, contacts, fichiers…
• Multiplication des applications clientes mobiles
• Accès via un navigateur mobile
… qui peuvent être facilement perdues de vue
• Upload sur des stockages en ligne (iCloud, Dropbox, OneDrive…)
• Envoi par email
• Copie sur clé USB, disque externe

Comment sécuriser le stockage des données sur des
périphériques mobiles ?
 Mobile Application Management (MAM)
Comment limiter l’accès aux documents sensibles ?
Comment auditer qui accède aux données à risque ?
 Azure Information Protection

Stratégies Intune
• Aucun besoin d’enroller le périphérique
• Elles s’appliquent uniquement sur
les données d’entreprise
Exemples de restriction
• Demande de code PIN au démarrage
• Bloquer le copier / coller en dehors de l’app
• Forcer une version minimale de l’app mobile
• Chiffrer les données contenues dans l’app

Protection des documents
• A l’initiative de l’utilisateur (manuellement)
• Basée sur des critères préétablis (classification auto)
• Sur toute les plateformes (Windows, Mac, smartphones)
Suivi de l’accès aux documents
• Voir qui a ouvert un document partagé
• Révoquer l’accès à un document sensible

Accès conditionnel pour les fichiers protégés
Azure Information Protection Scanner
• Classification et protection des documents on-premises
• Serveurs de fichiers
• Serveurs SharePoint

Démo
Azure Information Protection

Dashboard dédié
Fonctions de Protection

Début d’une attaque ?
• « Phish & Click »
• Pour la majorité d’entre elles
Réduction du risque ?
• Protéger la messagerie
• Exchange Online Protection
• Advanced Threat Protection

Offre de base O365
Réduction du risque face au virus & malware
• « Protéger contre ce que l’on connait »
• Moteur de protection virus & malware
• Gestion d’URLs (spam, phishing, spoofing)

Solution complémentaire
• « Evaluer ce que l’on ne connait pas »
Safe Attachments
• Exécution et Analyse comportementale (ML)
• Environnement cloisonné (chambre détonation)
Safe Links
• Réécriture d’URLs
Rapports
• Enquêter sur les cas bloqués

Sûr
Exchange Online Protection (EOP)
• Filtres multiples
• Trois moteurs anti-virus
Liens
• Listes continuellement mises à
jour d'URL malveillantes
Destinataire
Réécriture de liens sûrs
Non sûr
Pièce jointe
• Type de fichier pris en
charge
• Nettoyé par les filtres
AV/AS
• Pas dans la liste de
réputation
Chambre de détonation
(bac à sable)
analyse comportementale avec
apprentissage automatique
(machine learning)
Exécutable ?
Appel au registre ?
Élévation de droits ?
Expéditeur

CASB or not CASB ?
• Cloud Access Security Broker
• Analyser les usages Cloud
• Se positionner par rapport à ceux-ci (Shadow IT ?)
• Visibilité et alertes
• Agir automatiquement sur un périmètre intéropérable
2 produits : orienté O365 ou multi-Cloud
• Cloud App Security (CAS)
• Advanced Security Management (ASM)

ASM = CAS centré sur O365
Une solution multi-SaaS
• Découverte du Shadow IT au sens large (13.000+)
• Visibilité étendue, capacité de travail sur les données
et leur protection
• Investigation et prévention
Office 365 Advanced
Security Management
Plus de visibilité et de contrôle sur O365
• Découverte des App avec fonctionnalités analogues aux
services O365
• Gestion des permissions sur les App
• Alertes de sécurité avancée
Cloud App Security

Microsoft
Intelligent
Security
Graph
Taille
Industrie
Topographie
Configuration
Rôle
Actions
Recommandations personnalisées

Gouvernance des données
• Archivage, Rétention : Data Governance
• Classification, Auto. : Advanced Data Governance
Visibilité et investigation
• « Content Search »
• eDiscovery/Advanced eDiscovery
Fuite d’information & Alertes
• Data Leak Prevention (DLP)
• Plusieurs moteurs

Quick Wins
• Rapport d’étonnement & Sécurisation des Identités
Mise en place d’une stratégie de sécurité
• Identification des usages!
• Intégration de terminaux, services et gestion de la donnée
Posture sécurité équilibrée
• Protection, Détection/Réponse & Conformité

Démarche analogue à une analyse de risques
• Cartographie & Indicateurs
• Analyse d’écarts & Correction
• Itérations
Outillage
• Cartographie & Suivi
• Combler les écarts : automatisation, audit, nouvelles briques, etc.

Discover
Right to Erasure
Right to Data Portability
Manage
Documentation
Privacy by Design
Protect
Data Security
Data Transfer
Report
Documentation
Breach Response and Notification
Security & Compliance Center
A one-stop portal for protecting your data in Office 365. Grant permissions to people who perform compliance tasks.
Data Loss Prevention
Unified policies covering client end-points, empowering IT pros
Advanced Data Governance*
Classify, preserve and/or purge data based on automatic analysis and policy recommendations
Azure Information Protection
Automatically Identify, Label and Protect sensitive data across you environment from unwarranted access or use. Alerts, analysis and remediation for content.
Azure Active Directory (Identity Protection and Privileged Identity Management inclusive)
Identify Privileged and Non-Privileged users. Control access to resources, applications and data, in the cloud and on prem, with hybrid IAM. RBAC appropriate content to appropriate personnel. Revoke access instantly. Audit and report access to all
services.
Content search
run very large searches across mailboxes, public folders, Office
365 Groups, Microsoft Teams, SharePoint Online sites, One
Drive for Business locations, and Skype for Business
conversations
Data Governance
archive and preserve content in Exchange Online mailboxes,
SharePoint Online sites, and OneDrive for Business locations,
and import data into your Office 365 organization.
Advanced Threat Protection
provides security functions that protect user environments that
contain consumer data including Safe Attachments & Safe
Links
Audit Logs
record and search desired user and admin
activity across your organization
eDiscovery
use cases to manage access, place a hold on content locations
relevant to the case, associate multiple Content Searches with
the case, and export search results
Mail Flow Rules
look for specific conditions in messages that pass through your
organization and take action on them.
Secure Score
insights into your security position and what features are
available to reduce risk while balancing productivity and
security
Service Assurance
deep insights for conducting risk assessments
with details on Microsoft Compliance reports
and transparent status of audited controls.
Advanced eDiscovery*
significantly reduce cost and effort to identify relevant
documents & data relationships by using machine learning to
train the system to intelligently explore large datasets
Journaling in Exchange Online
respond to legal, regulatory, and compliance requirements by
recording inbound and outbound email communications.
Cloud Application Security
gain enhanced visibility and granular security controls and
policies including the ability to suspend user accounts,
revoking access to personal data
Customer Lockbox*
control how a Microsoft support engineer
accesses your data during a help session
Cloud Application Security
gain enhanced visibility and granular security controls and
policies including the ability to block access to unmanaged
cloud applications
Information management policies
With SharePoint Online, control how long to retain content, to
audit what people do with content, and to add barcodes or
labels to documents
Microsoft Intune
MDM, MAM and PC Management capabilities from the cloud.
Intune can provide you with access to corporate applications,
data and resources from almost anywhere, on any device while
keeping information contained.
Windows Event Log
Provides rich logging capabilities that enable
admins to view logged information about OS,
application and user activities.
Windows Search
Configure Indexing Options to enhance the capabilities of
Windows Search to locate and trace PII on a local machine.
Windows 10 Enterprise
Windows Hello, Credential Guard, Device Guard, Defender ATP,
Bitlocker, and Windows Information Protection – an operating
system designed to Protect.

Usages, usages, usages!
Une couverture à 100% n’existe pas (toujours).
Des produits, des interfaces pour une gouvernance.
Nous sommes là, à votre disposition.

#experiences17
Doublez votre chance en répondant aussi
au questionnaire de satisfaction globale !
* Le règlement est disponible sur demande au commissariat général de l’exposition. Image non-contractuelle
Notez cette session sur experiences17.microsoft.fr
Et tentez de gagner une Surface Pro

Mon offre de service Office 365 : quelles stratégies de sécurité pour répondre aux menaces actuelles ?

Recomendados

Recomendados

Mais conteúdo relacionado

Mais procurados

Mais procurados (20)

Semelhante a Mon offre de service Office 365 : quelles stratégies de sécurité pour répondre aux menaces actuelles ?

Semelhante a Mon offre de service Office 365 : quelles stratégies de sécurité pour répondre aux menaces actuelles ? (20)

Mais de Maxime Rastello

Mais de Maxime Rastello (8)

Mon offre de service Office 365 : quelles stratégies de sécurité pour répondre aux menaces actuelles ?

Notas do Editor