Scribd Logo
Importer

Bienvenue sur Scribd !

  • Office 365 Securité

    Transféré par

    benjiscan
    20 vues32 pages

    Copyright

    © © All Rights Reserved

    Formats disponibles

    PPTX, PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Signaler ce document

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PPTX, PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    20 vues32 pages

    Office 365 Securité

    Transféré par

    benjiscan

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PPTX, PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    sur 32

    Classification du document

    ☐Confidentiel
    ☐Restreint
    xInterne
    ☐Public
     

    La sécurité dans Office


    365

    Septembre 2019
    Les procédures chez Microsoft
    • Couche physique: datacenter et réseau

     Accès physique limité, contrôles par badge, biométrie,


    surveillance vidéo, au moins deux facteurs d’authentification
     Firewall, ouverture des ports nécessaires au fonctionnement
    uniquement
     Liste de contrôle d’accès séparé, zones de sécurité logiques
     Détection d’intrusion et de vulnérabilité sur la couche réseau
    Les procédures chez Microsoft
    • Couche logique: hôte, applications et administrateur

     Automatisation des taches d’administration pour réduire


    l’intervention humaine
     Accès aux données office 365 suivant la règle de privilège
    minimum, rôles d’administrateur séparés
     Cycle de vie de développement sécurisé, conformité constante
    aux normes de sécurité pour chaque release
     Anti-malware pour les codes malicieux, par mise en quarantaine
    et procédure de prévention
     Mises à jour régulières, hot fixes et patchs de sécurité
    Les procédures chez Microsoft
    • Couche de données

     Isolation des environnements via Active Directory


     Fonctionnalités de cryptage SSL,TLS,AES
     Disque cryptés avec la technologie BitLocker
     Approche utilisée : on part du principe qu’il existe une faille de
    sécurité
    • Prévenir : scanner de ports, scanner de vulnérabilité de périmètre, patchs système,
    isolation de réseau, détection et prévention DDoS, authentification multi-facteurs
    • Détecter: machine Learning, utilisation des systèmes d’alertes internes avec les
    alertes externes (incidents clients) pour définir des modèles et des déclencheurs
    d’alertes
    • Répondre: fermeture immédiate des accès, et information des clients
    • Réparer: réouverture des accès, mise à jour automatique et audit des systèmes
    impliqués pour rechercher d’éventuelles anomalies
    Localisation des données
    Conformité dans office 365
    Office 365 est conforme a plusieurs standards et régulations de
    gouvernements et d’industries.
    Plus d’informations:
    https://www.microsoft.com/fr-fr/trustcenter/compliance/complian
    ceofferings
    Position Anssi sur office 365
    Office 365 n’est pas certifié par l’Anssi
    Identité et authentification dans Office 365

    La gestion des identités


    • Identité standalone
     Le compte utilisateur n’existe que dans Azure AD
    • Pas de connexion avec un autre annuaire
    • Identité hybride (synchronisée)
     Le compte utilisateur est crée et géré dans l’AD local, le compte est
    synchronisé avec Azure AD Connect
     Pour authentifier l’utilisateur, 4 possibilités
    • Synchronisation du hash du mot de passe
    • Authentification transparente (pass-through authentication ou PTA)
    • Identité fédérée (par exemple ADFS) actuellement ES sans synchro mdp,
    evolution fin 2020
    • Seamless SSO
    Plus loin dans l’identité hybride
    • Synchronisation du hash du mot de passe
     Le hash du mot de passe local est synchronisé dans le cloud, pas
    le mot de passe lui-même
     L’utilisateur se connecte, si le hash du mot de passe correspond,
    il a accès au service
    • PTA
     Un agent installé par Azure AD Connect compare le mot de
    passe cloud a celui du contrôleur de domaine et retourne un
    statut (accepté, refusé, utilisateur bloqué, mauvais mot de passe,
    mot de passe expiré)
    Plus loin dans l’identité hybride

    • Fédération d’identité
     L’utilisateur est authentifié sur un contrôleur de domaine local
     Un jeton d’authentification est émis, permettant le SSO (single sign on)
    • Seamless SSO
     Permet de connecter automatiquement un utilisateur, sur leurs
    ordinateurs professionnels, et sur le réseau de l’entreprise
     Si le Seamless SSO échoue, l’authentification PTA ou par
    synchronisation du hash du mot de passe est utilisée
    L’authentification
    L’utilisateur se connecte à Azure AD et doit entrer ses identifiants
    Si l’authentification fédérée est utilisée, il y a redirection vers l’AD local
    Si la synchronisation du hash du mot de passe est utilisée, Azure AD est
    le fournisseur d’identité
    Si PTA (pass-through authentication) est utilisé, la requête
    d’authentification est transmise à l’AD local
    Si le Seamless SSO est utilisé, le navigateur fournit un ticket Kerberos à
    Azure AD qui identifie l’utilisateur
    Si les identifiants sont acceptés
    L’application reçoit un jeton, transmet à Azure AD, qui crée un objet qui
    identifie l’utilisateur
    Si l’authentification multi facteur est activée, l’utilisateur doit d’abord
    entrer ses identifiants dans le système MFA, ensuite le jeton est émis
    L’authentification multi facteur - MFA
    • Ajoute un niveau de sécurité
    • Les mots de passe utilisés seuls ne sont pas fiables (attaque
    par dictionnaire de mot de passe)
    • Une deuxième information doit être complétée
     SMS : fourniture d’un code à 6 chiffres en voie de disparition
     Appel téléphonique
     Application mobile: Microsoft Authenticator
     Fournisseurs tiers (RSA data security, duo security, etc.)
    • Utilisée uniquement lors du 1er login
    • Point à valider Application aux admin o365
    Gouvernance des données dans office 365
    Les données s’articulent autour de 4 points
     Importation / création
    • Les données peuvent être importées depuis de multiples sources
    • Elles peuvent être crées directement dans les différentes applications
     Rétention
    • Les données sont stockées pendant une période définie suivant la
    gouvernance de l’entreprise
     Suppression
    • La suppression des données est disponible, et soumise à la gouvernance de
    l’entreprise
     Classement
    • Certaines données sont plus importantes que d’autres, et sont identifiées
    comme telles
    • Il est possible de restreindre l’accès à ces données importantes
    Advanced Threat Protection - ATP
    ATP protège l’entreprise contre les menaces malveillantes posées par les messages
    électroniques, les liens (URL) et les outils de collaboration. ATP inclut :
    Stratégies de protection contre les menaces : définissez des stratégies de protection contre les
    menaces pour définir le niveau de protection approprié pour votre organisation.
    Rapports : affichez des rapports en temps réel pour contrôler les performances d’ATP au sein de
    votre organisation.
    Fonctionnalités de recherche et de réponse aux menaces : utilisez des outils de pointe pour
    étudier, comprendre, simuler et prévenir les menaces.
    Fonctionnalités automatisées d’investigation et de réponse : gagnez du temps pour investiguer
    et atténuer les menaces.
    Verifier les prerequis licences
    Stand by pour le moment

    Source:
    https://docs.microsoft.com/fr-fr/office365/securitycompliance/office-365-atp
    Azure Information Protection (AIP)
    Azure Information Protection permet à une entreprise de classifier et,
    facultativement, de protéger ses documents et e-mails en y
    appliquant des étiquettes. Les étiquettes peuvent être appliquées
    automatiquement par les administrateurs qui définissent des règles et
    des conditions ou manuellement par les utilisateurs, qui peuvent
    éventuellement recevoir des suggestions.

    Source:
    https://docs.microsoft.com/fr-fr/azure/information-protection/what-is
    -information-protection
    Etiquettes de niveau de confidentialité
    Avec des étiquettes de confidentialité, vous pouvez classer et protéger
    votre contenu sensible. Les options de protection incluent les
    étiquettes, les filigranes et le chiffrement. Les étiquettes de sensibilité
    utilisent Azure information protection. Vous pouvez:
    • Appliquer des paramètres de protection tels que le chiffrement ou des filigranes sur le contenu
    étiqueté
    • Protéger le contenu dans les applications Office sur vos différents appareils et plateformes
    • Empêcher le contenu sensible de sortir de votre organisation sur des appareils exécutant
    Windows
    • Protéger le contenu dans les services tiers et les applications tierces à l’aide de Microsoft
    Cloud App Security
    • Étendre les étiquettes de niveau de confidentialité à des applications et services tiers
    (développement nécessaire avec le SDK Microsoft information protection)
    • Classer le contenu sans utiliser les paramètres de protection
    • Ces étiquettes sont en texte clair, personnalisables et permanentes

    Source: https://docs.microsoft.com/fr-fr/office365/securitycompliance/sensitivity-labels
    Etiquettes de rétention
    Grâce aux étiquettes de rétention, vous pouvez classer les données au sein de
    votre organisation à des fins de gouvernance, et appliquer des règles de rétention
    basées sur cette classification. Avec les étiquettes de rétention, vous pouvez
    effectuer les actions suivantes :
    • Permettre aux personnes de votre organisation d’appliquer manuellement une étiquette de
    rétention à du contenu dans Outlook sur le web, Outlook 2010 et versions ultérieures, OneDrive,
    SharePoint et les groupes Office 365
    • Appliquer automatiquement des étiquettes de rétention au contenu s’il répond à des conditions
    spécifiques
    • Mettre en œuvre la gestion des enregistrements dans Office 365, notamment les e-mails et les
    documents. Vous pouvez utiliser une étiquette de rétention pour classer du contenu en tant
    qu’enregistrement. Lorsque cela se produit, l’étiquette ne peut pas être modifiée ou supprimée, et
    le contenu ne peut pas être modifié ou supprimé.
    • Appliquer une étiquette de rétention par défaut à une bibliothèque de documents, dossier ou
    ensemble de documents dans les sites SharePoint, afin que tous les documents figurant dans cette
    bibliothèque obtiennent l’étiquette de rétention par défaut.

    Source: https://docs.microsoft.com/fr-fr/office365/securitycompliance/labels
    Exemples d’etiquettes
    No limit sur onedrive et exchange, limite sur
    sharepoint et teams (14 To)
    Strategie a 4 niveaux a mettre en place
    Azure Rights management - RMS
    • Utilisé par le service Azure information protection
    • Ce service de protection cloud utilise des stratégies de chiffrement, d’identité et
    d’autorisation pour sécuriser vos fichiers et e-mails, et fonctionne sur plusieurs appareils
    tels que des téléphones, tablettes et PC. Des informations peuvent être protégées tant au
    sein qu'en dehors de votre organisation, car cette protection reste associées aux données,
    même quand celles-ci quittent les limites de votre organisation.
    • Protéger plusieurs types de fichiers
    • Protection des fichiers en tout lieu
    • Partager des informations en toute sécurité
    • Auditer et surveiller les fichiers protégés
    • Prend en charge des appareils courants, outre les ordinateurs Windows, Mac, Ios, Android
    • Prend en charge pour les collaborations interentreprises
    • Prend en charge des services locaux et d'Office 365
    • créer des stratégies simples et flexibles
    • A valider: mise a disposition aux users, attention à la conduite du changement

    Source: https://docs.microsoft.com/fr-fr/azure/information-protection/what-is-azure-rms
    Data Loss Prevention - DLP
    Pour respecter les normes de l'entreprise et les réglementations du secteur, les
    organisations doivent protéger les informations sensibles et empêcher leur
    divulgation accidentelle. Avec une stratégie DLP, vous pouvez :

    • Identifier les informations sensibles à de nombreux emplacements, comme Exchange


    Online, SharePoint Online, OneDrive Entreprise et Microsoft Teams.
    • Empêcher le partage accidentel d’informations sensibles.
    • Surveiller et protéger les informations sensibles dans les versions de bureau d’Excel, de
    PowerPoint et de Word.
    • Aider les utilisateurs à découvrir comment assurer la conformité sans interrompre leur flux
    de travail.
    • Consulter les rapports DLP présentant le contenu qui correspond aux stratégies DLP de
    votre organisation.
    • Prevoir demo asap

    Source: https://docs.microsoft.com/fr-fr/office365/securitycompliance/data-loss-prevention-policies
    L’accès conditionnel
    Permet de limiter l’accès a certaines applications en fonction de:
     L’adresse IP
     Le périphérique utilisé
     L’emplacement de connexion
    S’applique à
     Un utilisateur ou un groupe d’utilisateurs
     Des applications cloud
     L’OS utilisateur
    Les actions disponibles
     Accès bloqué
     Accès accepté avec ou sans conditions
    • MFA requis, périphériques respectant les politiques de l’entreprise, conditions d’utilisation à
    accepter
    A definir politique avant validation RSSI

    Source: https://docs.microsoft.com/fr-fr/azure/active-directory/conditional-access/overview
    Cryptage des données
    Les possibilités:
    • Toutes les données sont cryptées nativement via MMK, Microsoft management Key
    • BYOK: bring your own key: clé générée par le tenant office 365, nécessite azure
    information protection (AIP) plan 2 + azure keyvault pour le stockage des clés 
    • HYOK: hold your own key: clé hybride qui étend le chiffrement a office 365
     Très complexe à mettre en œuvre; on premise ad, on premise RMS (right management server) +
    stockage HSM (hardware Security module) 
     Attention: Les données cryptées par ce procédé ne sont pas indexées par la recherche d’office 365
     Attention: Les services Office 365 et autres services en ligne ne peuvent pas déchiffrer les documents
    et e-mails protégés par HYOK pour inspecter leur contenu et effectuer les actions nécessaires. Cette
    limitation s’étend aux documents et e-mails protégés par HYOK

    Sources : HYOK:
    https://docs.microsoft.com/fr-fr/azure/information-protection/configure-adrms-restrictions
    BYOK:
    https://docs.microsoft.com/fr-fr/office365/securitycompliance/office-365-service-encryption
    cryptage
    A valider:
    Données standard, cryptage natif ms
    Données ultra sensible: stockage interne
    répertoire bureautique
    Données intermédiaires: explorer la piste e-
    extranet (validé anssi et marché cadre EDF)
    Stratégies de sécurisation d’Office 365
    Sous 30 jours:
    • Gestion de la sécurité
    • Vérifier le score sécurisé et noter votre score actuel ( https://securescore.office.com).
    • Activez la journalisation d’audit pour Office 365. Consultez la rubrique Rechercher dans le journal d’audit.
    • Configurez votre client Office 365 pour renforcer la sécurité .
    • Examen régulier des tableaux de bord et des rapports dans le centre de sécurité Microsoft 365 et la sécurité des
    applications Cloud.
    •Protection contre les menaces
     Connectez Office 365 à Microsoft Cloud App Security pour démarrer la surveillance à l’aide des stratégies de détection
    des menaces par défaut pour les comportements anormaux. Il faut sept jours pour créer une ligne de base pour la
    détection des anomalies.
     Implémenter la protection pour les comptes d’administrateur:
    • Utilisez des comptes d’administration dédiés pour l’activité d’administration.
    • Appliquer l’authentification multifacteur (MFA) pour les comptes d’administrateur.
    • Utilisez un appareil Windows 10 hautement sécurisé pour l’activité de l’administrateur.
    • Gestion des identités et des accès
     Activer la protection des identités Azure Active Directory.
     Pour les environnements d’identité fédérée, appliquez la sécurité des comptes (longueur du mot de passe, âge,
    complexité, etc.).
    • Protection des informations
    • Commencez à utiliser ces ressources :
    • Protection des informations Office 365 pour RGPD
    • Sécuriser les sites et les fichiers SharePoint Online (y compris le partage, la classification, la protection contre la
    perte de données et Azure information protection)
    Stratégies de sécurisation d’Office 365
    Sous 90 jours:
    • Gestion de la sécurité
    • Vérifier le score de sécurité pour les actions recommandées https://securescore.office.compour votre environnement ().
    • Poursuivez régulièrement l’examen des tableaux de bord et des rapports dans le centre de sécurité Microsoft 365, dans la sécurité des
    applications Cloud et dans les outils SIEM.
    • Recherchez et mettez en œuvre des mises à jour logicielles.
    • Effectuez des simulations d’attaque pour le Spear Phishing, le vaporisation des mots de passe et les attaques de mot de passe en force à
    l’aide d’un simulateur d' attaque (inclus avec Office 365 Threat Intelligence).
    • Recherchez le risque de partage en examinant la sécurité des rapports intégrés dans Cloud App Security (sous l’onglet examiner).
    • Consultez le Gestionnaire de conformité pour vérifier l’état des réglementations qui s’appliquent à votre organisation (par exemple,
    RGPD, NIST 800-171).
    •Protection contre les menaces
     Implémenter des protections améliorées pour les comptes d’administrateur:
    • Configurez les stations de travail d’accès privilégié (pattes) pour l’activité d’administration.
    • Configurez Azure ad Privileged Identity Management.
    • Configurez un outil de gestion des événements et des informations sur la sécurité (SIEM) pour collecter les données de journalisation
    à partir d’Office 365, de la sécurité des applications Cloud et d’autres services, y compris AD FS. Le journal d’audit Office 365 stocke
    les données de 90 jours seulement. La capture de ces données dans l’outil SIEM vous permet de stocker des données pendant une
    période plus longue.
    • Gestion des identités et des accès
    • Activer et appliquer l’authentification multifacteur pour tous les utilisateurs.
    • Implémentez un ensemble d' accès conditionnel et de stratégies associées.
    • Protection des informations
     Adaptez et implémentez les stratégies de protection des informations. Ces ressources incluent des exemples:
    • Protection des informations Office 365 pour RGPD
    • Sécuriser les sites et les fichiers SharePoint Online
     Utilisez les stratégies de protection contre la perte de données et les outils de surveillance dans Office 365 pour les données stockées dans Office
    365 (au lieu de la sécurité des applications Cloud).
     Utilisez la sécurité des applications Cloud avec Office 365 pour les fonctionnalités d’alerte avancées (autres que la protection contre la perte de
    données).
    Stratégies de sécurisation d’Office 365
    Après 90 jours:
    • Gestion de la sécurité
     Poursuivez la planification des actions suivantes à l' https://securescore.office.comaide du score de
    sécurité
     Poursuivez régulièrement l’examen des tableaux de bord et des rapports dans le centre de sécurité
    Microsoft 365, dans la sécurité des applications Cloud et dans les outils SIEM.
     Recherchez et mettez en œuvre des mises à jour logicielles.
     Intégrez eDiscovery à vos processus de réponse légale et de menace.
    • Protection contre les menaces
     Implémentez un accès privilégié sécurisé (Spa) pour les composants d’identité sur site (AD, AD FS).
     Utilisez Cloud App Security pour surveiller les menaces d’Insiders.
     Découvrez comment utiliser le service de sécurité de l’application Cloud.
    • Gestion des identités et des accès
     Affinez les stratégies et les processus opérationnels.
     Utilisez Azure AD Identity Protection pour identifier les menaces d’Insiders.
    • Protection des informations
     Affiner les stratégies de protection des informations:
    • Étiquettes de sensibilité Microsoft 365 et Office 365, protection contre la perte de données (DLP) ou Azure
    information protection.
    • Stratégies et alertes de sécurité des applications Cloud.
    Stratégie de mot de passe

    Suite aux dernières recommandations:


    • Utiliser des passphrases plutôt que des mots de passe
    • Utiliser des phrases que vous seul pouvez comprendre (associations de mots
    personnels)
    • Supprimer les combinaisons lettres – chiffres – caractères spéciaux
    • Supprimer l’expiration du mot de passe
    • Créer une liste de mot de passe interdits
    • Eduquer les utilisateurs a ne pas utiliser les mots de passe professionnels dans la
    vie personnelle
    • Forcer l’authentification multifacteur dès que possible

    Source: https://pages.nist.gov/800-63-3/sp800-63b.html
    Valeurs de rétention par défaut
    OneDrive: https://docs.microsoft.com/fr-fr/onedrive/set-retention
    • 30 jours, extensible à 3650 jours
    SharePoint online:
    https://docs.microsoft.com/fr-fr/office365/securitycompliance/office-365-shar
    epoint-online-data-deletion

    • 93 jours non modifiable pour les documents supprimés


    Groupes office 365:
    https://docs.microsoft.com/fr-fr/sharepoint/restore-deleted-site-collection
    • 30 jours pour toutes les ressources du groupe sauf 93 jours pour le site
    SharePoint
    Conversations Teams:
    https://docs.microsoft.com/en-us/microsoftteams/retention-policies
    • Pas de limite de rétention même en cas de suppression, disponible pour le
    eDiscovery dans la mailbox exchange
    Les rapports d’audit
    Les rapports se basent sur les journaux d’audit à cette adresse:
    https://protection.office.com/unifiedauditlog
    Microsoft cloud app security
    Microsoft Cloud App Security est un répartiteur de sécurité
    d’accès cloud (CASB) qui prend en charge différents modes de
    déploiement, y compris la collecte de journaux, les connecteurs
    API et un reverse proxy. Il permet de:
    • Détecter et contrôler l’utilisation du shadow IT
    • Protéger vos informations sensibles, où qu’elles se trouvent dans le
    cloud
    • Vous protéger contre les cybermenaces et les anomalies
    • Evaluer la compatibilité de vos applications cloud
    Intune
    Intune est un service fournit par Azure
    Il permet de:

    • Gérer les appareils mobiles et les PC utilisés pour accéder aux


    données de l’entreprise
    • gérer les applications mobiles utilisées
    • protéger les informations d’entreprise en contrôlant la façon dont
    les utilisateurs y accèdent et les partagent
    • vérifier que les appareils et les applications sont conformes aux
    exigences de sécurité de l’entreprise.
    Contraintes cnil et rgpd
    Voir document

    Vous aimerez peut-être aussi