Académique Documents
Professionnel Documents
Culture Documents
☐Confidentiel
☐Restreint
xInterne
☐Public
Septembre 2019
Les procédures chez Microsoft
• Couche physique: datacenter et réseau
• Fédération d’identité
L’utilisateur est authentifié sur un contrôleur de domaine local
Un jeton d’authentification est émis, permettant le SSO (single sign on)
• Seamless SSO
Permet de connecter automatiquement un utilisateur, sur leurs
ordinateurs professionnels, et sur le réseau de l’entreprise
Si le Seamless SSO échoue, l’authentification PTA ou par
synchronisation du hash du mot de passe est utilisée
L’authentification
L’utilisateur se connecte à Azure AD et doit entrer ses identifiants
Si l’authentification fédérée est utilisée, il y a redirection vers l’AD local
Si la synchronisation du hash du mot de passe est utilisée, Azure AD est
le fournisseur d’identité
Si PTA (pass-through authentication) est utilisé, la requête
d’authentification est transmise à l’AD local
Si le Seamless SSO est utilisé, le navigateur fournit un ticket Kerberos à
Azure AD qui identifie l’utilisateur
Si les identifiants sont acceptés
L’application reçoit un jeton, transmet à Azure AD, qui crée un objet qui
identifie l’utilisateur
Si l’authentification multi facteur est activée, l’utilisateur doit d’abord
entrer ses identifiants dans le système MFA, ensuite le jeton est émis
L’authentification multi facteur - MFA
• Ajoute un niveau de sécurité
• Les mots de passe utilisés seuls ne sont pas fiables (attaque
par dictionnaire de mot de passe)
• Une deuxième information doit être complétée
SMS : fourniture d’un code à 6 chiffres en voie de disparition
Appel téléphonique
Application mobile: Microsoft Authenticator
Fournisseurs tiers (RSA data security, duo security, etc.)
• Utilisée uniquement lors du 1er login
• Point à valider Application aux admin o365
Gouvernance des données dans office 365
Les données s’articulent autour de 4 points
Importation / création
• Les données peuvent être importées depuis de multiples sources
• Elles peuvent être crées directement dans les différentes applications
Rétention
• Les données sont stockées pendant une période définie suivant la
gouvernance de l’entreprise
Suppression
• La suppression des données est disponible, et soumise à la gouvernance de
l’entreprise
Classement
• Certaines données sont plus importantes que d’autres, et sont identifiées
comme telles
• Il est possible de restreindre l’accès à ces données importantes
Advanced Threat Protection - ATP
ATP protège l’entreprise contre les menaces malveillantes posées par les messages
électroniques, les liens (URL) et les outils de collaboration. ATP inclut :
Stratégies de protection contre les menaces : définissez des stratégies de protection contre les
menaces pour définir le niveau de protection approprié pour votre organisation.
Rapports : affichez des rapports en temps réel pour contrôler les performances d’ATP au sein de
votre organisation.
Fonctionnalités de recherche et de réponse aux menaces : utilisez des outils de pointe pour
étudier, comprendre, simuler et prévenir les menaces.
Fonctionnalités automatisées d’investigation et de réponse : gagnez du temps pour investiguer
et atténuer les menaces.
Verifier les prerequis licences
Stand by pour le moment
Source:
https://docs.microsoft.com/fr-fr/office365/securitycompliance/office-365-atp
Azure Information Protection (AIP)
Azure Information Protection permet à une entreprise de classifier et,
facultativement, de protéger ses documents et e-mails en y
appliquant des étiquettes. Les étiquettes peuvent être appliquées
automatiquement par les administrateurs qui définissent des règles et
des conditions ou manuellement par les utilisateurs, qui peuvent
éventuellement recevoir des suggestions.
Source:
https://docs.microsoft.com/fr-fr/azure/information-protection/what-is
-information-protection
Etiquettes de niveau de confidentialité
Avec des étiquettes de confidentialité, vous pouvez classer et protéger
votre contenu sensible. Les options de protection incluent les
étiquettes, les filigranes et le chiffrement. Les étiquettes de sensibilité
utilisent Azure information protection. Vous pouvez:
• Appliquer des paramètres de protection tels que le chiffrement ou des filigranes sur le contenu
étiqueté
• Protéger le contenu dans les applications Office sur vos différents appareils et plateformes
• Empêcher le contenu sensible de sortir de votre organisation sur des appareils exécutant
Windows
• Protéger le contenu dans les services tiers et les applications tierces à l’aide de Microsoft
Cloud App Security
• Étendre les étiquettes de niveau de confidentialité à des applications et services tiers
(développement nécessaire avec le SDK Microsoft information protection)
• Classer le contenu sans utiliser les paramètres de protection
• Ces étiquettes sont en texte clair, personnalisables et permanentes
Source: https://docs.microsoft.com/fr-fr/office365/securitycompliance/sensitivity-labels
Etiquettes de rétention
Grâce aux étiquettes de rétention, vous pouvez classer les données au sein de
votre organisation à des fins de gouvernance, et appliquer des règles de rétention
basées sur cette classification. Avec les étiquettes de rétention, vous pouvez
effectuer les actions suivantes :
• Permettre aux personnes de votre organisation d’appliquer manuellement une étiquette de
rétention à du contenu dans Outlook sur le web, Outlook 2010 et versions ultérieures, OneDrive,
SharePoint et les groupes Office 365
• Appliquer automatiquement des étiquettes de rétention au contenu s’il répond à des conditions
spécifiques
• Mettre en œuvre la gestion des enregistrements dans Office 365, notamment les e-mails et les
documents. Vous pouvez utiliser une étiquette de rétention pour classer du contenu en tant
qu’enregistrement. Lorsque cela se produit, l’étiquette ne peut pas être modifiée ou supprimée, et
le contenu ne peut pas être modifié ou supprimé.
• Appliquer une étiquette de rétention par défaut à une bibliothèque de documents, dossier ou
ensemble de documents dans les sites SharePoint, afin que tous les documents figurant dans cette
bibliothèque obtiennent l’étiquette de rétention par défaut.
Source: https://docs.microsoft.com/fr-fr/office365/securitycompliance/labels
Exemples d’etiquettes
No limit sur onedrive et exchange, limite sur
sharepoint et teams (14 To)
Strategie a 4 niveaux a mettre en place
Azure Rights management - RMS
• Utilisé par le service Azure information protection
• Ce service de protection cloud utilise des stratégies de chiffrement, d’identité et
d’autorisation pour sécuriser vos fichiers et e-mails, et fonctionne sur plusieurs appareils
tels que des téléphones, tablettes et PC. Des informations peuvent être protégées tant au
sein qu'en dehors de votre organisation, car cette protection reste associées aux données,
même quand celles-ci quittent les limites de votre organisation.
• Protéger plusieurs types de fichiers
• Protection des fichiers en tout lieu
• Partager des informations en toute sécurité
• Auditer et surveiller les fichiers protégés
• Prend en charge des appareils courants, outre les ordinateurs Windows, Mac, Ios, Android
• Prend en charge pour les collaborations interentreprises
• Prend en charge des services locaux et d'Office 365
• créer des stratégies simples et flexibles
• A valider: mise a disposition aux users, attention à la conduite du changement
Source: https://docs.microsoft.com/fr-fr/azure/information-protection/what-is-azure-rms
Data Loss Prevention - DLP
Pour respecter les normes de l'entreprise et les réglementations du secteur, les
organisations doivent protéger les informations sensibles et empêcher leur
divulgation accidentelle. Avec une stratégie DLP, vous pouvez :
Source: https://docs.microsoft.com/fr-fr/office365/securitycompliance/data-loss-prevention-policies
L’accès conditionnel
Permet de limiter l’accès a certaines applications en fonction de:
L’adresse IP
Le périphérique utilisé
L’emplacement de connexion
S’applique à
Un utilisateur ou un groupe d’utilisateurs
Des applications cloud
L’OS utilisateur
Les actions disponibles
Accès bloqué
Accès accepté avec ou sans conditions
• MFA requis, périphériques respectant les politiques de l’entreprise, conditions d’utilisation à
accepter
A definir politique avant validation RSSI
Source: https://docs.microsoft.com/fr-fr/azure/active-directory/conditional-access/overview
Cryptage des données
Les possibilités:
• Toutes les données sont cryptées nativement via MMK, Microsoft management Key
• BYOK: bring your own key: clé générée par le tenant office 365, nécessite azure
information protection (AIP) plan 2 + azure keyvault pour le stockage des clés
• HYOK: hold your own key: clé hybride qui étend le chiffrement a office 365
Très complexe à mettre en œuvre; on premise ad, on premise RMS (right management server) +
stockage HSM (hardware Security module)
Attention: Les données cryptées par ce procédé ne sont pas indexées par la recherche d’office 365
Attention: Les services Office 365 et autres services en ligne ne peuvent pas déchiffrer les documents
et e-mails protégés par HYOK pour inspecter leur contenu et effectuer les actions nécessaires. Cette
limitation s’étend aux documents et e-mails protégés par HYOK
Sources : HYOK:
https://docs.microsoft.com/fr-fr/azure/information-protection/configure-adrms-restrictions
BYOK:
https://docs.microsoft.com/fr-fr/office365/securitycompliance/office-365-service-encryption
cryptage
A valider:
Données standard, cryptage natif ms
Données ultra sensible: stockage interne
répertoire bureautique
Données intermédiaires: explorer la piste e-
extranet (validé anssi et marché cadre EDF)
Stratégies de sécurisation d’Office 365
Sous 30 jours:
• Gestion de la sécurité
• Vérifier le score sécurisé et noter votre score actuel ( https://securescore.office.com).
• Activez la journalisation d’audit pour Office 365. Consultez la rubrique Rechercher dans le journal d’audit.
• Configurez votre client Office 365 pour renforcer la sécurité .
• Examen régulier des tableaux de bord et des rapports dans le centre de sécurité Microsoft 365 et la sécurité des
applications Cloud.
•Protection contre les menaces
Connectez Office 365 à Microsoft Cloud App Security pour démarrer la surveillance à l’aide des stratégies de détection
des menaces par défaut pour les comportements anormaux. Il faut sept jours pour créer une ligne de base pour la
détection des anomalies.
Implémenter la protection pour les comptes d’administrateur:
• Utilisez des comptes d’administration dédiés pour l’activité d’administration.
• Appliquer l’authentification multifacteur (MFA) pour les comptes d’administrateur.
• Utilisez un appareil Windows 10 hautement sécurisé pour l’activité de l’administrateur.
• Gestion des identités et des accès
Activer la protection des identités Azure Active Directory.
Pour les environnements d’identité fédérée, appliquez la sécurité des comptes (longueur du mot de passe, âge,
complexité, etc.).
• Protection des informations
• Commencez à utiliser ces ressources :
• Protection des informations Office 365 pour RGPD
• Sécuriser les sites et les fichiers SharePoint Online (y compris le partage, la classification, la protection contre la
perte de données et Azure information protection)
Stratégies de sécurisation d’Office 365
Sous 90 jours:
• Gestion de la sécurité
• Vérifier le score de sécurité pour les actions recommandées https://securescore.office.compour votre environnement ().
• Poursuivez régulièrement l’examen des tableaux de bord et des rapports dans le centre de sécurité Microsoft 365, dans la sécurité des
applications Cloud et dans les outils SIEM.
• Recherchez et mettez en œuvre des mises à jour logicielles.
• Effectuez des simulations d’attaque pour le Spear Phishing, le vaporisation des mots de passe et les attaques de mot de passe en force à
l’aide d’un simulateur d' attaque (inclus avec Office 365 Threat Intelligence).
• Recherchez le risque de partage en examinant la sécurité des rapports intégrés dans Cloud App Security (sous l’onglet examiner).
• Consultez le Gestionnaire de conformité pour vérifier l’état des réglementations qui s’appliquent à votre organisation (par exemple,
RGPD, NIST 800-171).
•Protection contre les menaces
Implémenter des protections améliorées pour les comptes d’administrateur:
• Configurez les stations de travail d’accès privilégié (pattes) pour l’activité d’administration.
• Configurez Azure ad Privileged Identity Management.
• Configurez un outil de gestion des événements et des informations sur la sécurité (SIEM) pour collecter les données de journalisation
à partir d’Office 365, de la sécurité des applications Cloud et d’autres services, y compris AD FS. Le journal d’audit Office 365 stocke
les données de 90 jours seulement. La capture de ces données dans l’outil SIEM vous permet de stocker des données pendant une
période plus longue.
• Gestion des identités et des accès
• Activer et appliquer l’authentification multifacteur pour tous les utilisateurs.
• Implémentez un ensemble d' accès conditionnel et de stratégies associées.
• Protection des informations
Adaptez et implémentez les stratégies de protection des informations. Ces ressources incluent des exemples:
• Protection des informations Office 365 pour RGPD
• Sécuriser les sites et les fichiers SharePoint Online
Utilisez les stratégies de protection contre la perte de données et les outils de surveillance dans Office 365 pour les données stockées dans Office
365 (au lieu de la sécurité des applications Cloud).
Utilisez la sécurité des applications Cloud avec Office 365 pour les fonctionnalités d’alerte avancées (autres que la protection contre la perte de
données).
Stratégies de sécurisation d’Office 365
Après 90 jours:
• Gestion de la sécurité
Poursuivez la planification des actions suivantes à l' https://securescore.office.comaide du score de
sécurité
Poursuivez régulièrement l’examen des tableaux de bord et des rapports dans le centre de sécurité
Microsoft 365, dans la sécurité des applications Cloud et dans les outils SIEM.
Recherchez et mettez en œuvre des mises à jour logicielles.
Intégrez eDiscovery à vos processus de réponse légale et de menace.
• Protection contre les menaces
Implémentez un accès privilégié sécurisé (Spa) pour les composants d’identité sur site (AD, AD FS).
Utilisez Cloud App Security pour surveiller les menaces d’Insiders.
Découvrez comment utiliser le service de sécurité de l’application Cloud.
• Gestion des identités et des accès
Affinez les stratégies et les processus opérationnels.
Utilisez Azure AD Identity Protection pour identifier les menaces d’Insiders.
• Protection des informations
Affiner les stratégies de protection des informations:
• Étiquettes de sensibilité Microsoft 365 et Office 365, protection contre la perte de données (DLP) ou Azure
information protection.
• Stratégies et alertes de sécurité des applications Cloud.
Stratégie de mot de passe
Source: https://pages.nist.gov/800-63-3/sp800-63b.html
Valeurs de rétention par défaut
OneDrive: https://docs.microsoft.com/fr-fr/onedrive/set-retention
• 30 jours, extensible à 3650 jours
SharePoint online:
https://docs.microsoft.com/fr-fr/office365/securitycompliance/office-365-shar
epoint-online-data-deletion