Sécurité d’Office 365 : lexique détaillé
CONFIANCE NUMÉRIQUE

Sécurité d’Office 365 : lexique détaillé

Plus que jamais, Microsoft se préoccupe de sécurité. Une approche complète, de Windows 10 à Azure et EMS… Et, bien sûr, Office 365, qui apporte de nombreux outils pour sécuriser votre messagerie, vos données, vos informations et vos périphériques… Olivier Carpentier présente ces fonctionnalités dans cet article, initialement publié sur Linkedin.

 

Olivier Carpentier
Olivier Carpentier

Office 365 Pre-sales Engineers Manager, Microsoft France

 

La sécurité est aujourd’hui un challenge IT important pour toute organisation professionnelle. Le nombre et la complexité des attaques informatiques sont plus importants que jamais.

Sur Office 365, la sécurité est un sujet majeur. Microsoft a investi très fortement ces dernières années sur les outils et fonctionnalités de sécurité pour le cloud. Cela s’est traduit par le développement de nombreux nouveaux outils (ATP, EOP, Azure RMS, etc.) et par de nombreux rachats de sociétés spécialisées comme par exemple AdallomSecured IslandAorato ou encore Equivio.

Si l’on souhaite être réellement exhaustif sur la vision actuelle de la sécurité par Microsoft, il faut comprendre qu’il s’agit d’une approche de bout-en-bout basée sur 4 composants : Windows 10 pour sécuriser le poste de travail, Azure pour offrir des composants d’infrastructure cloud de sécurité, EMS (Enterprise Mobility + Security) pour apporter des solutions spécialisées dans la sécurisation des données et des périphériques, et enfin bien sûr Office 365 pour offrir des fonctionnalités de sécurisation de la collaboration et des communications.

 

Evaluez le ROI de votre solution de sécurité

Quel retour sur investissement pouvez-vous attendre de Windows Defender Advanced Threat Protection ?

Téléchargez l’étude

 

Mais au-delà de la simple liste de produits et de fonctionnalités, la sécurité est une approche globale, qui est adressée par trois piliers :

  • La conformité (compliance) : ce sont tous les engagements pris par Microsoft en terme de respects des normes (ISO, SOC, etc.) et réglementations, les engagements contractuels, etc.
  • Built-in Services : ce sont tous les services mis en place par Microsoft pour protéger et sécuriser son infrastructure, comme par exemple le chiffrement at rest, le contrôle de l’accès physique ou logique aux données, etc.
  • Customer controls : ce sont les outils mis à disposition des clients Office 365 pour sécuriser leur tenant sur différents sujets comme le chiffrement, les logs, la protection des emails, la protection contre la fuite d’information, le BYOK, etc.

Aujourd’hui, le nombre de fonctionnalités de sécurisation est très important et évolue très vite. Cet article a pour objectif de présenter les briques fondamentales d’Office 365 à connaître principalement sur l’axe « Customer Controls ». Ces différentes fonctionnalités sont présentées dans les chapitres suivants par thématique, comme par exemple la sécurisation de la messagerie, des données, l’identité, etc.

La grande majorité des fonctionnalités présentées ci-dessous sont accessibles depuis le centre d’administration de la sécurité et de la conformité, qui est une section d’administration dédiée aux personnes en charge de la sécurité au-sein des organisations.

1. Sécuriser sa messagerie

1.1. Exchange Online Protection (aka EOP)

Dans Office 365, toute boîte email est protégée par défaut par une solution antivirale, antimalware et antispam nommée Exchange Online Protection. Ce service peut être utilisé pour protéger des boîtes emails Exchange Online, mais également n’importe quel autre service de messagerie dans le cloud ou onPremise, comme Exchange Server, etc.

EOP contient 3 moteurs antiviraux et des bases de signatures virales importantes. Il évolue vite car traite aujourd’hui un très grand nombre d’emails au quotidien. EOP possède un modèle de traitement multi-couches, permettant à la fois la détection des attaques coordonnées de botnets, d’envoi en volume, des malwares polymorphiques, des campagnes de spam grandes, moyennes ou petites, d’URL réputation, de sender auth & spoof detection, etc.

Même s’il s’agit d’une solution SaaS, EOP n’est néanmoins pas une boîte noire : il permet de réaliser de l’ingénierie de protection en laissant la possibilité aux administrateurs de personnaliser son fonctionnement. Vous pouvez par exemple définir vos propres filtres de spam, en vous basant sur la localisation, les IP, la langue, etc. puis définir des actions de types mise en quarantaine, suppression, etc.

Plus d’informations sur EOP

1.2. Exchange Advanced Threat Protection (aka ATP)

Comme toutes les solutions antivirales du marché, EOP protège des attaques de virus et de malwares connus, c’est-à-dire dont la signature est présente dans les bases antivirales. Avant d’être connu, les virus sont évidemment très dangereux. On parle alors de virus dit « zero day » qui, pendant un laps de temps, peuvent compromettre un poste de travail ou des données. Les ransomwares par exemple ont fait beaucoup de mal durant ce laps de temps en 2016.

Pour se prémunir contre ce type d’attaque, Office 365 propose une solution appelée ATP (Exchange Advanced Threat Protection). Comme EOP, ATP peut s’utiliser pour protéger des boîtes aux lettres hébergées sur Exchange Online, mais également sur n’importe quel autre système de messagerie. Au vue de la sophistication et la fréquence des attaques aujourd’hui, l’utilisation d’une solution comme ATP est essentielle, et toutes les organisations de toutes tailles sont concernées.

Exchange ATP propose deux fonctionnalités importantes :

  1. Protéger des pièces jointes malveillantes : Lorsqu’une pièce jointe potentiellement suspecte est envoyée, cette pièce jointe est ouverte et surveillée au-sein d’une infrastructure de test composée de machines spécialisées. Si la pièce jointe a un comportement anormal (exemple : essayer d’accéder à la base de registre, au système de fichiers, etc.), la pièce jointe ne sera pas délivrée à l’utilisateur et les administrateurs seront notifiés.
  2. Protéger du fishing et des liens malveillants : Lorsqu’un lien est présent dans un email, son adresse est réécrite pour pointer vers une base de connaissance des liens malveillant. Lorsque l’utilisateur clic sur le lien depuis l’email, l’utilisateur ne sera redirigé que si le lien n’est pas présent dans la liste noire. La liste noire n’est pas propre au tenant mais est partagée au niveau global. Les administrateurs peuvent soumettre des liens au sein de cette liste.

À lire » plus d’informations sur ATP

2. Chiffrement des données

2.1. Azure RMS

Office 365 propose une technologie de chiffrement appelée Azure RMS (Right Management System) qui est à la fois à la main des administrateurs mais également des utilisateurs. Azure RMS est une technologie dite de DRM (Digital Right Management) : elle permet à la fois de chiffrer les fichiers, mais aussi de leur attacher des politiques d’usages. Par exemple, un utilisateur pourra envoyer un email, choisir de chiffrer son contenu et ses pièces jointes, et n’autoriser que certains utilisateurs pour le lire, sans leur laisser le droit de le transférer ou de copier son contenu. Les règles sont définissables par un administrateur depuis la console Office 365.

La chiffrement du contenu peut être réalisé à la main par les utilisateurs finaux, ou par des règles automatiques (règles de transport / DLP) par les administrateurs Exchange Online (exemple : tout contenu contenant le mot confidentiel sera automatiquement chiffré).

Azure RMS possède l’avantage d’être très bien intégré à la suite Office Pro, ce qui permet aux utilisateurs de directement apposée la protection depuis la suite Office ou depuis Outlook pour un email :

 

 

A noter également qu’Azure RMS peut également proposer des scénarios de BYOK (Bring Your Own Keys).

Plus d’informations sur Azure RMS

2.2. Office 365 Messages Encryption (aka OME)

Le seul inconvénient de RMS est qu’il nécessite un composant compatible pour lire le contenu chiffré et négocier les permissions. Pour des utilisateurs internes à l’organisation avec un poste maîtrisé (Outlook, Outlook Web App ou encore les apps Outlook pour smartphone), cela ne pose pas de problème. Toutefois, vous pouvez parfois vouloir partager des emails protégées à des utilisateurs tiers qui utiliseraient des messageries grand public du type Outlook.com, Gmail, Yahoo ! etc. C’est précisément le rôle d’OME (Office 365 Message Encryption).

Son principe est plutôt simple : le contenu de votre email est déposé sur un serveur et peut être protégé par un OTP (One Time Password = mot de passe utilisable qu’une seule fois). Le destinataire va lui recevoir un email avec une pièce jointe attachée qui sera une simple page html. Cette page HTML une fois ouverte, lui permettra d’accéder à la pièce jointe sécurisée.

Comme pour Azure RMS, OME peut être activée par l’utilisateur final, ou par des règles définies par l’administrateur.

Exemple d’email protégé par OME reçu dans une boîte email Outlook.com (ex Hotmail, messagerie grand public) :

 

Plus d’informations sur OME

2.3. Chiffrement TLS

Tous les flux échangés entre le poste de travail et les serveurs Office 365 (données en transit) sont chiffrés par TLS en AES/256. Microsoft gère ses propres certificats, vous n’avez pas besoin d’en faire l’acquisition. Office 365 supporte le TLS en version 1.2, 1.1 et 1.0.

Plus d’informations sur le chiffrement TLS dans Office 365

2.4. Bitlocker

Le terme « Données stockées » fait référence aux données qui ne sont pas activement en transit. Dans Office 365, les données stockées de messages électroniques sont chiffrées à l’aide du chiffrement de lecteur BitLocker. BitLocker chiffre les disques durs dans les centres de données Office 365 pour fournir une protection améliorée contre les accès non autorisés.

Plus d’information sur Bitlocker

2.5. Advanced Encryption et BYOK

En plus du chiffrement Bitlocker, les données stockées dans Office 365 font l’objet d’une surcouche de chiffrement appelée Advanced Encryption. Ce système est déjà actif sur tous les contenus basés sur SharePoint Online et OneDrive For Business et est en cours de déploiement sur les contenus Exchange Online.

Advanced Encryption apporte deux capacités de chiffrement complémentaires :

  1. Per-file Encryption : Ce système permet de se prémunir du vol de données au sein des datacenters. Tout fichier déposé est découpé en morceaux, chaque morceaux est chiffré avec une clé propre. Ensuite tous les morceaux de fichiers sont envoyés vers des conteneurs, les clés dans un boîtier spécifique, et les méta-données dans des bases de contenu séparées. Chaque niveau possède sa propre gouvernance, permettant ainsi de se prémunir d’un vol de données.
  2. BYOK (Bring Your Own Key) : Vous pouvez utiliser vos propres clés de chiffrement au-sein d’Advanced Encryption. Ce service, en preview depuis fin 2016, devrait être généralisé bientôt et permettre, grâce à Azure Key Vault et les boîtiers HSM Thalès, de mettre en place un système sécurisé de gestion de vos clés sur les contenus. Vous pouvez choisir d’utiliser vos propres clés par boîtes aux lettres ou par collection de sites SharePoint Online.

Plus d’information sur Advanced Encryption

Essayez Windows Defender ATP

Attaques, vulnérabilités, fuites de données… Détectez, analysez et traitez les attaques avancées.

Version d’évaluation

 

Comment protéger vos informations, vos identités et vos périphériques ? » La suite de l’article d’Olivier Carpentier