CONFIANCE NUMÉRIQUE

Sécurité informatique : 7 termes à connaître pour épater votre DSI

BYOD, DLP, analyse comportementale de réseau ou protection des points de terminaison… Si ces termes ne suscitent chez vous que perplexité et sueurs froides, il est probablement temps de vous mettre à niveau. Pas de panique ! Voici les 7 termes à connaître pour briller lors des réunions avec la DSI de votre entreprise, définis par Arnaud Jumelet, National Security Officer chez Microsoft France.

Le BYOD (Bring Your Own Device)

C’est en 2012 que le terme a commencé à faire le buzz. Peut‐être parce qu’il évoque l’esprit start‐up ? Mais c’est quoi au juste, le BYOD ? Le Bring Your own Device consiste à apporter au travail ses outils numériques personnels pour travailler. À la clé : gains de productivité, flexibilité, mobilité… et danger ?

Téléphones, tablettes, fonctionnant sur Android, IOS, Microsoft, Mac ou Linux… Gérer une flotte aussi disparate fonctionnant sous des systèmes d’exploitation différents relève du casse‐tête. La grande crainte de la DSI : faire entrer le loup dans la bergerie. Qui sait ce que font les collaborateurs avec leurs appareils quand ils sont chez eux. Les ont‐ils protégés ? Utilisent‐ils bien des mots de passe différents pour tous leurs services ? Visitent‐ils des sites à risque ? Les logiciels téléchargés ont‐ils un numéro de licence ? De quoi donner des cauchemars à nos experts.

Microsoft a réagi en déplaçant la sécurité informatique des appareils (les antivirus) aux applications qu’ils utilisent. Par exemple, elles peuvent chiffrer elles‐mêmes les données, demander un code pin au moment de se lancer, etc.

Chez Microsoft, c’est l’application Intune qui réalise cette mission. Elle ajoute une couche de sécurité à toutes les applications Microsoft, mais aussi à celles de ses partenaires.

À lire aussi : Cybersécurité : 5 chiffres à connaître

Cours accéléré sur la gestion de votre sécurité : les clés d’une sécurité optimisée

La façon dont vous gérez la sécurité de vos données et de vos appareils est une priorité absolue dans un contexte de cybermenace en constante évolution.

Télécharger

Le MDM (Mobile Device Management)

On l’a compris, avec des tendances comme le BYOD, les flottes des entreprises sont de plus en plus importantes et diverses. Comment éviter l’anarchie et appliquer la même politique de sécurité à l’intégralité des appareils ? Les DSI enfilent leur casquette de Sherlock Holmes pour résoudre cette énigme.

Souvent, il s’agit seulement de mettre en place des règles d’hygiène de base. Des mesures qui sont disponibles dans tous les appareils sans être activées.

Vous l’avez remarqué, la DSI ne fait pas confiance aux utilisateurs, quand il s’agit de sécurité informatique. Et elle a raison ! En 2017, Wanna Cry a infecté 250 000 appareils, d’après l’Anssi, parce que les utilisateurs n’avaient pas installé les mises à jour de sécurité. C’est là qu’intervient le MDM. Avec ce type de solution, les experts sécurité reprennent la main et automatisent toutes les mesures de sécurité. Comment ? En la couplant avec l’identification de l’utilisateur. Quand il se connecte via son login d’entreprise, la solution lui demande son autorisation pour installer la configuration de sécurité. Elle est alors installée dans l’appareil.

Concrètement, quand on lance la suite Office 365, l’application se connecte à Azure Active Directory (la brique identité) et Intune installe les règles de sécurité et les met à jour régulièrement.

L’IAM (Identity Access Management)

L’identity access management, c’est le vigile à l’entrée du club. Lui seul sait si vous avez l’autorisation d’y entrer et si vous avez accès au carré VIP. Le concept n’est pas nouveau, cela fait bien 30 ans que les experts en sécurité l’utilisent. Et Arnaud Jumelet de préciser :

Quand on parle de sécurité, l’identité est la première étape.

81 % des brèches de sécurité viennent en effet de vols d’identité en ligne, d’après une étude Verizon. Alors les techniques vont de plus en plus loin. Aujourd’hui, grâce à des systèmes comme Active directory, l’identification est multi‐factorielle. Par exemple, après avoir écrit votre mot de passe, vous recevez un SMS ou un appel pour confirmer votre identité. Cette méthode permet de repousser 99,9 % des attaques. « Pour obtenir ce chiffre, on a étudié celles qui ont réussi et on s’est aperçu que la totalité auraient pu être contrées avec une simple authentification multi‐facteur. » La bonne nouvelle ? Tous les clients Microsoft 365 peuvent en bénéficier.

L’étape suivante consiste à supprimer purement et simplement tous les mots de passe. C’est possible grâce à une clé USB ou NFC de la norme Fido2. Un projet de la Fast Identity Online (Fido) Alliance, à laquelle Microsoft participe.

À lire aussi : Joy Chick, l’ingénieure qui voulait supprimer les mots de passe

L’analyse comportementale

Pardon de vous l’apprendre, mais nous avons tous des comportements plus ou moins routiniers sur nos ordinateurs de travail. « On reçoit un nombre moyen d’emails à peu près similaire tous les jours, on se connecte à peu près toujours du même endroit, avec le même appareil… » Le terrain idéal pour faire tourner un algorithme de machine learning !

L’analyse comportementale fonctionne en deux étapes. D’abord, une phase d’apprentissage et d’observation du parcours de l’utilisateur. Ensuite, en les comparant aux données récoltées, la solution contrôle les comportements. Ils sont jugés suspects s’ils diffèrent de la petite routine habituelle. Dans ce cas, l’algorithme alerte la DSI ou traite immédiatement le dysfonctionnement. Un gain de temps assez luxueux quand on sait qu’en Europe, il faut en moyenne 6 mois pour repérer une attaque.

Microsoft intègre cette analyse comportementale dans la plupart de ses produits de sécurité. Par exemple, Azure Active Directory (gestion des identités) peut déclencher une demande d’authentification multi‐facteur en cas d’alerte. Azure Sentinel, le SIEM de Microsoft (voir définition suivante) permet également d’analyser les logs. Cloud App Security détecte les anomalies sur les applications cloud comme Office 365…

Microsoft 365 : Solution sécurisée complète réunissant Office 365, EMS et Windows

Découvrez comment, avec Office, EMS et Windows, vous pouvez offrir à vos utilisateurs davantage de liberté et d’autonomie dans leur façon de travailler et collaborer, sans sacrifier la sécurité.

Télécharger

Le SIEM (Security Information and Event Manager)

Aujourd’hui, les entreprises utilisent de plus en plus d’applications sur le cloud. 1935 en moyenne : il peut s’agir des mails, de la paie…. Les appareils se multiplient, on l’a constaté avec le BYOD, de même que les objets connectés. Et avec eux, les attaques : elles sont passées de 12 à 105 millions entre le premier semestre 2018 et le premier semestre 2019.

Résultat, pour la DSI, les données relatives à la sécurité sont éparpillées en plusieurs points et fournies par des solutions techniques différentes. Aussi compétentes soient‐elles, les équipes d’experts ne sont pas surhumaines et ne peuvent pas avoir des yeux partout. Et encore moins faire des corrélations entre toutes les activités qui se produisent sur son système d’information.

Avec le SIEM, elles disposent enfin d’un outil de pilotage unique ! Le SIEM centralise tous les mouvements, tous les logs et offre à la DSI une interface pour contrôler l’intégralité des signaux venant de toutes les solutions de sécurité. Il enregistre qu’un utilisateur s’est connecté, a supprimé un fichier etc. Mais surtout, il fait des corrélations et alerte l’entreprise en cas de menace. Il intègre aussi des solutions d’analyse comportementale.

C’est ce que propose Azure Sentinel. Son atout : il s’interface avec la plupart des solutions sécurité du marché. Ainsi, il peut collecter l’intégralité des données de sécurité de l’entreprise.

Cloud access security broker

À une époque pas si lointaine, le système d’information d’une entreprise était parfaitement clos. Les collaborateurs installaient des applications sur leur poste de travail et des antivirus pour éviter les attaques. C’est le paradis perdu des DSI, mais cette époque est révolue.

Dans chaque service, à chaque poste de travail, les collaborateurs utilisent des applications en Saas, on l’a déjà évoqué. Mais pour les installer, ils appliquent rarement la procédure en vigueur dans leur entreprise. Résultat : 80 % d’entre eux travaillent avec des applications qui n’ont pas été approuvées par leur DSI. C’est ce qu’on appelle le shadow IT. 60 % des applications installées par les collaborateurs sont inconnues du service sécurité.

Avec le CASB, l’IT obtient enfin une vue complète des applications utilisées par les collaborateurs. La solution permet ensuite de déployer un système d’authentification et de chiffrer les données. L’outil Microsoft Cloud App Security (MCAS) contient en plus une bibliothèque de près de 10 000 applications et peut donc alerter l’entreprise sur leur fiabilité.

Gestion de la sécurité de Microsoft 365

Découvrez les différentes fonctions et solutions qui peuvent aider les entreprises à obtenir la visibilité, le contrôle et les conseils dont elles ont besoin pour gérer leur sécurité.

Regarder

Endpoint detection and response

Comme les virus biologiques, les malwares peuvent muter ! 96 % d’entre eux sont polymorphiques. Cela signifie qu’ils intègrent quelques lignes de code qui les rend indétectables pour les antivirus classiques, qui reconnaissent la signature des attaques déjà rencontrées. Il fallait faire évoluer nos défenses pour protéger les terminaux des entreprises, points d’entrée n°1 des malwares.

Anton Chuvakin de l’institut Gartner a été le premier, en 2013, à employer le terme d’Endpoint detection and response. Avec cette méthode, des capteurs observent l’activité sur un poste de travail et repèrent les mouvements suspects. Quand l’analyse comportementale surveille les comportements inhabituels des utilisateurs, l’EDR piste les malwares. Ils sont en mesure de repérer très rapidement des attaques qu’ils n’avaient jamais rencontrés auparavant.

En 2018, Microsoft Defender ATP a été nommé leader dans ce domaine par le cabinet Gartner. Il est inclus dans Windows 10 et intégré au système d’exploitation même.