View
261
Download
0
Category
Preview:
DESCRIPTION
Revue sur la stratégie de sécurité Microsoft pour 2014 Speakers : Bernard Ourghanlian (Microsoft)
Citation preview
Sécurité
La stratégie sécurité de Microsoft
Bernard OurghanlianCTO & CSO
Microsoft France
bourghan@microsoft.com, @Ourghanlian
Sommaire
Le panorama de la sécurité
Quelques détails
En guise de conclusion
La stratégie sécurité de Microsoft
Les grandes tendances technologiques
Mobile
65% des entreprises déploient au moins un outil de réseau social
Social Cloud
Le contenu numérique représente
Plus de 80% des nouvelles Apps ont été distribuées ou déployées sur/depuis des Clouds en 2012
Big Data
70% des organisations utilisent déjà ou investiguent des solutions de Cloud Computing
D’ici 2016, les
smartphones et les tablettes seront entre les mains de 1 milliard de consommateurs dans le monde
La population des collaborateurs mobiles représentera
80% de croissance des données non structurées dans les 5 prochaines années1,3 milliard soit plus de
37% du total de la main d’œuvre en 2015
La génération Y représentera
75% de la main d’œuvre aux US en 2025
2,7 ZO* en 2012, en progression de 48% depuis 2011, et représentera 8 ZO en 2015
* 1 ZO = 2021 octets
De nombreuses menaces, actives et en évolution
Grandes tendances• Du côté des attaquants• Emergence d’adversaires déterminés et bien équipés• Amélioration drastique des outils d’attaque et de leur
automatisation • Ciblage spécifique des organisations, des gens et des données
• Du côté des défenseurs• Les environnements informatiques ne sont pas conçus pour les
types d’attaque visant à voler les crédentités et à se rendre maitre du SI
• Les compétences en sécurité du SI tentent de défendre chaque système de la même manière
• Les préoccupations d’impact sur la réputation nuisent à la collaboration des défenseurs
Le modèle traditionnel de la sécurité des SI
Evolution des menaces Sans discrimination Ciblée Cible consommateur Cible entreprise Vecteur unique Vecteurs multiples Manuelle Automatisée Poste de travail Terminal et Cloud Visible Dissimulée Acteur solitaire Ecosystème organisé Spam Vol d’information Vol d’information Destruction d’information
Le modèle traditionnel de sécurité des SI n’est plus adapté !
Sommaire
Le panorama de la sécurité
Quelques détails
En guise de conclusion
La stratégie sécurité de Microsoft
2003 2004 2006 2008 2009 2010 20122001 20132000 2002 2005 2007 2011
TwC NextBlaster / Slammer
Mis à bas de plusieurs Botnet de très grandes taillesWindows XP
Formation du Microsoft Malware Protection Center
Boot sécurisé UEFI pour Windows 8
1,14 milliard d’utilisateurs d’Internet
Windows Vista BitLocker et UAC
Mémo de Bill Gates
Début du Security Development Lifecycle (SDL)
Publication de Simplified SDL et de SDL Agile
Mise à disposition de Windows 7, IE8, Security Essentials
389 millions d’utilisateurs d’Internet
> 2,4milliards d’utilisateurs d’Internet
Vol et abus d’identités
Microsoft et la sécurité : 2 décennies de perspective et de progrès
L’initiative pour l’informatique de confiance
= Tablet SecuritySûr et disponible
Service prévisible, cohérent, réactif
Maintenable
Résilient, facile à restaurer
Prouvé, prêt
Sécurité Vie privée Pratiques commercialesFiabilité
Sécuriser contre les attaques
Protéger la confidentialité, l’intégrité et la disponibilité des données et des systèmes
Aider à gérer les risques
Protéger contre une divulgation non désirée
Choix et contrôle de l’utilisateur
Les produits et les services en ligne adhèrent à des principes d’information équitables
Engagement sur une interopérabilité centrée sur les préoccupations de nos clients
Ouvert, transparent
StratégieSécurité
Forte tension aujourd’huiEntre l’innovation métier et les besoins en termes de cyber-sécurité
Innovation Métier
Cloud Big Data
SocialMobile
Besoins cyber-sécurité
Gestion d’identité
Gestion de Configuration
Gestion des menaces
Réponse forte
Une technologie conçue à dessein…Peut conduire au succès des métiers…
= Tablet Security
Faire un pont entre Innovation et Sécurité
Politiques et
Procédures
Les employés utilisent en toute sécurité les postes de leur choix
Mobile
Connecter les gens et accélérer la collaboration sécurisée
Social
Etendre votre business au Cloud tout en protégeant vos données
Cloud
Tirer parti du Big Data pour améliorer la sécurité
Big Data
Prolifération des terminaux personnels et d’entreprise
Changer la façon dont les gens communiquent et collaborent
Accès flexible et dynamique pour des services Cloud publics, privés, hybrides
Intelligence et analyse pour l’atténuation des menaces
= Tablet Security
Permettre aux utilisateurs d’utiliser en sécurité les
terminaux qu’ils choisissent
Gestion des terminaux
Prévention des malwares, intrusions et menacesProtection des données
Contrôles basés politique
Mobile
Supporter des collaborateurs mobiles avec un meilleur management et un meilleur contrôle
= Tablet Security
Connecter les gens entre eux et accélérer la
collaboration sécurisée
Contrôles d’accès
Conformité et politique
Protection de l’information
Social
Sécurisé et productif, expériences familières et connectées
= Tablet Security
Etendre le business au Cloud tout en protégeant les
données
Créer une infrastructure moderne
Gestion d’identité
Contrôle d’accès dynamique
Audit et certification
CRM Online
Cloud
= Tablet Security
Vous aider à faire évoluer en permanence votre stratégie sécurité
Tirer parti du Big Data pour améliorer la
sécuritéRéponses améliorées
Intelligence et analyse
Compréhension des menaces émergentes
Big Data
Sommaire
Le panorama de la sécurité
Quelques détails
En guise de conclusion
La stratégie sécurité de Microsoft
Le déploiement et la gestion des applications sur l’ensemble des plateformes est complexe.
Applications
Les défis actuels
Les utilisateurs veulent pouvoir travailler depuis n’importe où et avoir accès à toutes les ressources.
Utilisateurs
Données
Les utilisateurs doivent être productifs tout en respectant la contraintes de conformité et en limitant les risques.
L’explosion et la diversité des appareils mobiles remet en cause l'approche basée sur les standards IT de l'entreprise.
Appareils
Utilisateurs
Une IT centrée sur les utilisateurs
Donner le choix aux utilisateurs
Permettre aux utilisateurs de travailler à partir de l’appareil de leur choix et offrir un accès cohérent aux ressources de l’entreprise.
Unifier l’environnement
Fournir une gestion unifiée des applications et des appareils à demeure et dans le Cloud.Protéger les données
Aider à protéger les informations de l’entreprise et gérer les risques.
Accès. Protection. Administration.
DonnéesAppareils Applications
Vision Sécurité Microsoft
Classification & Protection des donnéesCentralisation des informations d’entreprise pour le respect de la conformité et la protection des données
Chiffrement automatique des données basé sur la classification des documents
Protection des données sur tous les appareils mobiles
Gestion des identités et des accèsUne identité unique pour l’accès aux ressources à demeure et dans le Cloud
Une connexion automatique aux ressources internes à la demande
Contrôle d’accès aux applications et données basées sur des politiques de sécurité
√
Gestion de la sécurité
Analyse de risques Cloud
Changer de manière durable les pratiques d’administration
Gestion des appareils et des applications
Gestion des identités
Défis Solutions
Offrir aux utilisateurs une identité commune pour l’accès à des ressources hébergées sur site dans un environnement d'entreprise, et sur des plateformes Cloud.
Gérer des identités multiples et maintenir l’information synchronisée entre les environnements est une charge pour les ressources IT.
Les utilisateurs bénéficient d’une expérience de signature unique (SSO) pour l’accès aux ressources, indépendamment de la localisation.
Les utilisateurs et l’IT peuvent tirer parti de l’identité commune pour l’accès aux ressources externes à travers la fédération
L’IT peut gérer de manière cohérente les identités sur site et dans le Cloud.
Gérer les identités à l’échelle du Cloud
Les Développeurs peuvent construire des applications s’appuyant sur le modèle d’une identité commune
L’IT peut fournir aux utilisateurs une identité commune pour les services à demeure ou dans le Cloud en tirant parti de Windows Server Active Directory et de Windows Azure Active Directory
Les utilisateurs bénéficient d’une signature unique (SSO) pour toutes leurs ressources (internes, applications de Windows Azure, Office 365 et applications tierces)
L’IT peut configurer les applications SaaS les plus populaires depuis la galerie des applications
Défis Solutions
Les utilisateurs veulent utiliser l’appareil de leur choix et avoir accès aux applications, données et ressources tant personnelles que professionnelles.
Les utilisateurs veulent disposer d’un moyen simple pour accéder à leurs applications professionnelles depuis n’importe où.
Les départements IT veulent mettre en place ces scénarios pour les utilisateurs mais doivent également contrôler l’accès aux informations sensibles tout en restant en conformité vis-à-vis des politiques réglementaires.
Les utilisateurs peuvent enregistrer leurs appareils, ce qui les rend connus de l’IT, qui peut utiliser l’authentification de l’appareil pour l’accès aux ressources de l’entreprise.
Les utilisateurs peuvent enrôler leurs appareils ce qui leurs donne l’accès au portail de l’entreprise offrant un accès cohérent aux applications et données, en plus de la gestion de leurs appareils.
L’IT peut publier l’accès aux ressources de l’entreprise avec un contrôle d’accès basé sur l’identité de l’utilisateur, l’appareil qu’il utilise et sa localisation.
Gestion des accès
Accès conditionnel sur contexte et sensibilité des données
Identité
Niveau de confiance de l’appareil
Niveau de confiance de la localisation
Le contexte d’accès inclut les caractéristiques de l’identité présentée, le niveau de confiance du terminal mobile, la localisation et la force de l’authentification
Force de l’authentification
Les politiques d’accès définissent les règles d’accès en fonction du contexte et de la sensibilité des services et données accédés
Les données et services sont classifiés selon les règles de l’entreprise et en respect des réglementations
Authentification multi-facteurs (MFA)1. L’utilisateur tente de se connecter ou de faire une action sujette à MFA
2. Quand l’utilisateur s’authentifie, l’application ou le service effectue un appel au service MFA3. L’utilisateur doit répondre à un challenge (SMS, un appel téléphonique ou application mobile)
5. L’IT peut configurer le type et la fréquence de la sollicitation MFA à laquelle l’utilisateur doit répondre
4. La réponse est retournée à l’application qui autorise l’accès à l’utilisateur
Utilisateur
Appareils
Apps & Data
Appareils Windows 8.1
Augmentation de la résistance aux malwares en intégrant un anti-malware de base, en sécurisant la séquence de démarrage et en diminuant la surface d’attaque des sous-systèmes de sécurité
Renforcement de la confiance dans l’authentification par la protection des identités avec la carte à puce virtuelle et l’intégration en standard de la biométrie
Protection des données sensibles dans un contexte BYOD avec le chiffrement du périphérique pour toutes les déclinaisons de l’OS et l’effacement sélectif des données entreprise
Utilisation de services en ligne SaaS pour valider l’état de santé de l’appareil (Provable PC Health) et la réputation des sites et applications (Smartscreen) pour un écosystème plus sûr
Renforcement de la sécurité par le matériel Utilisation du TPM et UEFI pour sécuriser la séquence de démarrage, garantir l’intégrité, chiffrer le disque, protéger les identités
Une connexion VPN automatique offre un démarrage transparent du VPN dès lors qu’une connexion internet est présente ou bien lorsque l’utilisateur lance une application qui nécessite un accès aux ressources de l’entreprise
VPN
DirectAccess
Appareils Windows Phone 8 avec EFP Cycle de vie des applications avec
possibilité de déployer (mode push) les apps, mise à jour ou suppression en mode silencieux. Mise à disposition d’applications du Windows Phone Store depuis le MDM et liste des apps installables ou bloquées.
Gestion des certificats : cycle de vie géré depuis le MDM; utilisation pour authentification utilisateur, Wi-Fi, VPN, navigateur, applis métier; Support S/MIME et des cartes à puce virtuelles
VPN auto-déclenché avec client intégré compatible avec la plupart de VPN avec un profil par application
Chiffrement de l’appareil y compris pour les applications et données stockées sur micro-SD. Photos, musiques et vidéos restent non-chiffrées
Wi-Fi Entreprise avec support de l’authentification par certificat, profils de configuration Wi-Fi et certificats distribués par MDM et politiques Wi-Fi avancées
Intégration MDM avec client OMA SynchML intégré et possibilité de personnaliser l’expérience utilisateur d’enrôlement
Classification et protection des données
Défis Solutions
Les utilisateurs apportent leurs propres appareils au travail, veulent accéder à des informations sensibles y compris localement sur l’appareil.
Une quantité importante de données d'entreprise peut être trouvée localement sur les appareils des utilisateurs.
L’IT doit être en mesure de sécuriser, classifier et protéger les données en fonction du contenu, et pas seulement en fonction de leurs localisations, tout en respectant les contraintes réglementaires.
Les utilisateurs peuvent travailler sur l'appareil de leur choix et être en mesure d'accéder à toutes leurs ressources, indépendamment du lieu ou de l’appareil.
L’IT peut appliquer de manière centralisée un ensemble de politiques d'accès et d'audit, et être capable de protéger les informations sensibles en fonction du contenu des documents.
L’IT peut auditer et établir des rapports sur l’accès à l’information.
√
Classification des données avec Dynamic Access Control
Classification – Définition de propriétés de classification sur la base de catégories prédéfinies (Informations privées, Sécurité de l’information, données légales,…) avec extension possible selon le contexte client
Contrôle de l’accès aux fichiers – Des politiques d’accès centralisées permettent aux entreprises d’appliquer des politiques de sécurité. Par exemple, il est possible de définir qui peut accéder à des informations concernant des dossiers de santé dans l’entreprise.
Revendications utilisateur et appareil – Les revendications utilisateur/ appareil sont définies en plus des groupes pour être utilisées comme conditions d’accès à des informations classifiées
Classification automatique – Les règles de classification sont appliquées de manière continue par le moteur de classification de fichiers en fonction des propriétés de ressource et du contenu des documents
Protection des données avec Dynamic Access Control
Administration centralisée des politiques de contrôle d’accès et d’audit depuis l’annuaire Active Directory.
Classification automatique basée sur le contenu. La classification s’applique à la création ou modification des fichiers.
L’intégration avec Active Directory Rights Management Services offre un chiffrement automatique des documents.
Les politiques d’accès et d’audit centrales peuvent s’appliquer sur des ensembles de serveurs de fichiers, avec une classification en quasi-temps réel à la création ou modification des documents
La classification, les politiques d’accès et l’application automatique des droits d’usage (RMS) s’exercent sur les données distribuées sur les clients à travers les Work Folders.
Travailler et collaborer sur les données d’entreprise
Appareils
Apps compatibles RMS
Serveurs de collaboration
Serveurs de fichiers
Azure RMS reçoit et valide les demandes d'authentification et autorisation et en échange distribue des licenses numériques
Ajouter facilement un service de protection RMS aux serveurs collaboratifs et à demeure tels que ceux exécutant Exchange et SharePoint.
Les utilisateurs peuvent collaborer avec des partenaires et sur tous les appareils importants.
Les fichiers qui contiennent des données sensibles sont protégés automatiquement
Office 365 bénéficie de la fonctionnalité RMS
Gestion de la sécurité
Défis Solutions
Les utilisateurs sont de plus en plus exigeants et demandent à l’IT des solutions modernes.
L’infrastructure du système d’information est de plus en plus complexe avec un nombre important de compte à hauts privilèges.
Le nombre et la diversité des appareils augmentent dans l’organisation.
Les métiers abordent la sécurité sous l’angle de la gestion des risques.
L’IT change de manière durable les pratiques d’administration.
L'IT connait et maintient la sécurité des appareils et des applications qui sont utilisées.
L'IT peut auditer et vérifier l’efficacité des mesures de sécurité.
Sécurité Office 365/Azure – Les engagements
Les clients restent propriétaires des données qu’ils stockent dans le Cloud Microsoft. Ils peuvent télécharger à tout moment et sans assistance de Microsoft une copie de l’ensemble des données.
Microsoft s’engage à ne PAS utiliser les données de ses clients à des fins publicitaires et à ne pas en tirer des informations à de quelconques fins commerciales.
Toutes les applications Microsoft déployées dans les centres de données Microsoft ont été soumises à un processus de cycle de vie de développement sécurisé, le Security Development Lifecycle (SDL), initié par Microsoft dès 2004.
Concernant la sécurité physique, Microsoft utilise des utilise une combinaison de technologies innovantes ainsi que des mesures physiques traditionnelles.
Nous pensons que la confiance passe par la transparence. Ainsi, un Trust Center est disponible pour les services Cloud Microsoft.
Avec Office 365, le client connaît les pays où se trouvent les centres de données Microsoft dans lesquels ses données sont stockées.
Sécurité Office 365/Azure – Pour aller plus loin
Surveillance
permanente
Isolation des
données clients
Réseau sécurisé
Données chiffrées
Automatisationdes
opérations
Cycle de vie de
développement
sécurisé
Authentification multi-facteur
Antivirus/AntispamClassification et protection des messages/documents
Contrôle de l’authentification
Gestion des identitésPolitique de sécurité
Fédération d’identitéAudits
Exchange ActiveSync
Windows Azure MFA
Windows Azure Active Directory
Exchange Online Protection
Message EncryptionAzure RMS
S/MIMEDLP
Analyse de risques CloudL’analyse de risques Cloud permet de prendre une décision basée sur des critères factuels plutôt que sur des impressions sans se concentrer uniquement sur des critères techniques
L’analyse de risques Cloud est basée sur les travaux de la Cloud Security Alliance, elle évalue un ensemble exhaustifs de 15 domaines dans les catégories Gouvernance, Technique, Opérations et Business
La démarche évalue la tolérance aux risques de l’entreprise, les risques liés à la solution Cloud visée et compare ensuite les résultats domaine par domaine
L’outillage sous forme de questionnaire accompagne la démarche, fournit visuellement les résultats et permet d’ajuster en fonction des contre-mesures présentées
Les résultats permettent d’envisager des stratégies d’atténuation des risques, d’acceptation des risques résiduels, ou d’orientation vers des solutions Cloud privé ou hybride
L’analyse permet de faire ressortir les critères cruciaux dans le choix du fournisseur de Cloud et d’évaluer la propre maturité de l’entreprise pour l’adoption de solutions dans le nuage
Lutte contre Cybercriminalité
Défis Solutions
La cybercriminalité devient l’un des défis majeurs non seulement pour les états mais pour l’ensemble des citoyens
En France, plus de 10 millions de personnes ont été victimes de la cybercriminalité pendant cette période, engendrant près de 2,5 milliards d’euros de pertes
20% des entreprises ont déjà été attaquées par des personnes malveillantes et la moitié des internautes ont été victimes de cybercriminalité l’année dernière
Création du Microsoft Cybercrime Center à Redmond avec un équipe de 100 experts (avocats, techniciens, analystes…) ; Centre ouvert à des experts en sécurité venant d’autre entreprises ou organisations
Des outils pour cartographier les réseaux du crime organisé, de détection de la cybercriminalité au niveau mondial (Cyberforensics), d’aide au repérage des botnets actifs
Formation des forces de l’ordre (2CENTRE, Centre Expert de lutte contre la Cybercriminalité Français)
Signal Spam, Phishing Initiative,…
Sommaire
Le panorama de la sécurité
Quelques détails
En guise de conclusion
La stratégie sécurité de Microsoft
Vision Sécurité Microsoft
Classification & Protection des donnéesCentralisation des informations d’entreprise pour le respect de la conformité et la protection des données
Chiffrement automatique des données basé sur la classification des documents
Protection des données sur tous les appareils mobiles
Gestion des identités et des accèsUne identité unique pour l’accès aux ressources à demeure et dans le Cloud
Une connexion automatique aux ressources internes à la demande
Contrôle d’accès aux applications et données basées sur des politiques de sécurité
√
Gestion de la sécurité
Analyse de risque Cloud
Changer de manière durable les pratiques d’administration
Gestion des appareils et des applications
Sessions sécurité lors des Techdays : MardiTitre Heure et niveau
Gérer vos identités et vos accès pour le Cloud avec Windows Azure Active Directory (Premium)
12h15-13h00 (niveau : 300)
Windows Phone 8 et la sécurité 12h15-13h00 (niveau : 200)
BYOD : les nouveaux scénarios d'authentification adaptés au monde de l'entreprise
15h15-16h00 (niveau : 300)
Windows Azure Multi-Factor Authentication, presentation et cas d'usage
16h30-17h15 (niveau : 200)
Vous avez dit protocoles Web d'authentification et d'autorisation ! De quoi parlez-vous ?
17h45-18h30 (niveau : 300)
Sessions sécurité lors des Techdays : MercrediTitre Heure et niveau
Classifier vos données pour envisager sereinement le Cloud et le BYOD !
11h00-11h45 (niveau : 200)
Quoi de neuf pour les identités dans Office 365 ?
12h15-13h00 (niveau : 300)
Protéger vos données dans un contexte BYOD/Office 365 avec le nouveau service Microsoft RMS
15h15-16h00 (niveau : 200)
Protéger vos données à demeure avec le nouveau service Microsoft RMS et les boitiers HSM Thalès
16h30-17h15 (niveau : 300)
BYOD demo Extravaganza – Démonstration du « Bring Your Own Device » en entreprise
16h30-17h15 (niveau : 200)
Windows XP chronique d'une mort annoncée
17h45-18h30 (niveau : 200)
Sessions sécurité lors des Techdays : Jeudi
Titre Heure et niveau
Stratégie Bring You Own Device (BYOD) et nouvelles directions de solutions
12h15-13h00 (niveau : 200)
© 2014 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Digital is business
Recommended