Microsoft Ignite 2018 : Synthèse des annonces cybersécurité
CONFIANCE NUMÉRIQUE

Microsoft Ignite 2018 : Synthèse des annonces cybersécurité

Microsoft profile picture
Cyril Voisin

Chief Security Advisor at Microsoft EMEA

Synthèse des annonces cybersécurité de Microsoft Ignite 2018

 

La conférence Ignite 2018 a eu lieu la semaine dernière. Microsoft en a profité pour faire de nombreuses annonces, notamment en matière de sécurité, sujet abordé en profondeur dans environ 90 sessions ! Je vous propose donc une synthèse de ce qui m’a paru marquant et vous invite à aller visionner les enregistrements des sessions qui vous intéressent (en anglais) : https://myignite.techcommunity.microsoft.com/videos

La sécurité est un sujet stratégique

 

C’est Satya Nadella lui-même qui a commencé à porter le sujet lors de sa conférence plénière en insistant sur les besoins de confiance et de sécurité.

Le schéma indique nos investissements opérationnels avec notre Intelligent Security Graph (ISG) qui reçoit 6500 milliards de signaux par jour. Viennent ensuite nos partenariats avec l’extensibilité du graphe ISG, les efforts pour faire évoluer les législations et le Tech Accord avec les autres grandes entreprises du numérique. Enfin, bien évidemment, les produits que nous concevons et opérons avec pour objectif de concilier la sécurité et la productivité, des utilisateurs et des administrateurs, de manière intégrée et non pas sous forme de rajout a posteriori.

We will continue to invest over $1 bilion annually on cyber security research and development in the coming years and this amount does not include acquisitions we may make in the sector. – Bharat Shah Vice President of Security, Microsoft

Ignite 2018 a été l’occasion de rappeler que Microsoft est pleinement engagé afin de tenir son rôle d’acteur majeur de la sécurité. Notre investissement annuel en R&D sur la sécurité atteint 1 milliard de dollars, sans compter les éventuelles acquisitions de sociétés externes.

 

Sécurité : 2 ebooks + 1 infographie

Aujourd’hui même avec des systèmes de défense à la pointe de la technologie, il est difficile de lutter contre des cyberattaques toujours plus sophistiquées et ciblées.

Téléchargez le kit

L’identité est au cœur de la sécurité

L’identité est une cible de choix

81% des brèches de sécurité impliquent des vols de crédentités et 73% des utilisateurs avouent réutiliser le même mot de passe pour plusieurs comptes indépendants.

La bonne nouvelle est que l’authentification multi-facteur (MFA) réduit les risques de 99.9%. Déployez-la dès que possible ! Pour vos administrateurs, activez MFA immédiatement.

Pour éviter que des mots de passe interdits ou ayant fuité soient utilisés, Azure AD Password Protection est désormais disponible pour votre Active Directory.

L’accès conditionnel est aux réseaux de confiance nulle ce que le pare-feu était pour la sécurité périmétrique réseau

 

La sécurité s’appuyant sur le périmètre réseau n’est plus adaptée. De plus en plus d’entreprises se tournent vers une approche vers des réseaux à confiance nulle (zero trust networks). On présuppose que toute session doit être vérifiée comme si elle émanait de l’Internet. Pour ce faire on s’appuie sur la notion d’accès conditionnel fournie par Azure Active Directory (Conditional Access) qui évalue l’identité de l’utilisateur, le terminal utilisé et sa conformité, le lieu de la connexion, l’application utilisée, le niveau de sensibilité des données à accéder pour déterminer un accès plus ou moins complet aux applications et données. On peut également grâce à l’apprentissage machine et à des sources d’information sur les menaces donner un score à chaque compte utilisateur pour renforcer le dispositif et par exemple détecter quand la crédentité d’un utilisateur a fuité et se retrouve exposée sur les sites d’attaquants.

Ci-dessous un exemple d’accès à une bibliothèque de documents SharePoint dont le contenu est classifié Confidentiel. Compte tenu du terminal utilisé, l’entreprise a décidé de laisser l’accès à la bibliothèque mais de bloquer le téléchargement de documents.

 

La fin de l’ère des mots de passe a commencé

Microsoft prend une position très volontaire pour permettre l’élimination des mots de passe. Vous connaissiez probablement Windows Hello ou le support du standard FIDO2. Ici nous avons annoncé la possibilité d’utiliser l’application Microsoft Authenticator pour s’authentifier sur les comptes Azure AD (en savoir plus https://aka.ms/gopasswordless).

Une session intéressante sur le sujet des bonnes pratiques de sécurité : BRK3251.

Une autre sur la sécurisation de votre Azure : BRK3383. Où l’on apprend notamment que pour bien verrouiller son Azure on peut :

  • Utiliser MFA et l’accès conditionnel
  • Utiliser le contrôle d’accès basé sur les rôles et le Privileged Identity Management
  • Arrêter de créer des comptes locaux dans les machines virtuelles et utiliser Azure AD Sign in for Azure VMs (pour mettre un de vos comptes Azure AD comme root dans une VM Linux par exemple)
  • Enlever les crédentités du code en utilisant des identités gérées (managed identities for Azure resources)

 

Se protéger contre les menaces avancées avec Windows Defender ATP

Comment gagner la bataille de la réactivité face à des attaques toujours plus sophistiquées ? Comment Windows Defender ATP répond à vos besoins de détection ?

Regarder le Webinar

Protection contre les menaces

Nous avons annoncé Microsoft Threat Protection afin de fournir une sécurité optimale en minimisant la complexité. Le but est de combiner nos signaux et solutions pour fournir une protection large, permettre des investigations de bout en bout et potentiellement automatiser le nettoyage et la remédiation.

Une des solutions phares est Windows Defender ATP. Disponible en natif sur Windows 10, en rajout sur Windows 7/8.1 et avec des partenaires sur Mac, Android et iOS. Je recommande la session BRK2009.

Parmi les nouveautés, cette vue d’un incident composé de plusieurs alertes avec une chronologie des événements et la possibilité d’approfondir.

 

Cette autre vue montre les différentes étapes, de la création de l’incident, à son endiguement (en mettant une restriction sur la machine elle-même et par accès conditionnel, l’investigation puis la remédiation avant retour à la normale. Sur la droite vous pouvez accéder à l’investigation et la remédiation automatiques.

 

Un autre élément clé est Microsoft Cloud App Security (MCAS), le CASB de Microsoft. Parmi les nouveautés on retiendra :

  • Contrôle en temps réel des sessions vers les applications cloud Microsoft (Office 365, VSTS) et les applications on prem (via la fonction de reverse proxy AAD App Proxy)
  • La découverte des applications SaaS depuis les machines avec Windows Defender ATP (intéressant pour découvrir l’informatique spontanée aka Shadow IT lorsque les machines ne sont pas sur un réseau que vous contrôlez)
  • La détection automatique des applications tierces risquées qui utilisent OAuth (au cas où vos utilisateurs aient autorisé des applications à utiliser leur identité pour accéder à des données de l’entreprise). Vous pouvez mettre une politique en place pour révoquer automatiquement les permissions de ces applications
  • Workflows automatisés avec Microsoft Flow (par exemple, créer un ticket automatiquement dans ServiceNow ou obtenir des approbations avant de désactiver un compte utilisateur)
  • Extension des fonctions de découverte (déjà disponible avec Zscaler) à iBoss
  • Nouvelles détections :
    • Règles de boite aux lettres suspectes (transfert automatique)
    • Activité d’un ex-employé
    • Suppression inhabituelle de machines virtuelles

De son côté Azure ATP détecte désormais de nouvelles menaces grâce à l’activité de votre Active Directory :

  • Connexion VPN suspecte
  • Accès anormal à des données protégées par AIP
  • DCShadow

En outre l’intégration avec Azure AD Identity Protection se poursuit. Nous avons notamment introduit une nouvelle interface pour présenter les informations liées à l’identité d’une manière unifiée. Cela permet de repérer les utilisateurs les plus à risque et d’avoir tous les renseignements les concernant.

 

Côté Intelligent Security Graph, de nouveaux partenaires ont rejoint l’initiative soit en tant qu’application de sécurité, soit en tant que SIEM ou analyse de logs, soit en tant que fournisseur de sécurité.

Côté infrastructure, Azure Security Center se renforce. Il permet toujours de protéger vos ressources Azure (IaaS, PaaS), et vos machines virtuelles on prem ou dans un autre cloud. Une excellente session sur le sujet : BRK2038. Parmi les fonctionnalités disponibles que je retiens :

  • Détection et réponse sur vos serveurs Windows avec Windows Defender ATP
  • Détection de menaces sur Linux
  • Accès juste à temps aux VM (JIT VM Access) pour bloquer les ports SSH et RDP quand vous n’en avez pas besoin et éviter les attaques exhaustives
  • Contrôle applicatif adaptatif (liste blanche)
  • Surveillance de l’intégrité des fichiers
  • Investigation de processus (attaques fileless)
  • Détection de menace dans Azure App Services

Les fonctionnalités suivantes sont en preview :

  • Contrôle adaptatif et durcissement réseau
  • Rapports de conformité PCI/CIS/ISO/SOC
  • Cartographie réseau
  • Secure Score pour IaaS et PaaS Containers
  • Dockers sur Linux
  • Analyse comportementale pour les ressources et identités avec MCAS
  • Détection de menaces pour le stockage et les bases de données PostGresSQL et MySQL

Protection de l’information

Microsoft Information Protection fournit une classification/étiquetage, une protection et un reporting unifiés.

 

Toutes les solutions Microsoft s’articulent autour de MIP et les solutions de partenaires peuvent s’appuyer dessus grâce au SDK. On notera qu’Adobe Acrobat Reader supporte nativement les fichiers pdf classifiés et protégés par Azure Information Protection (preview).

Les fonctions de classifications apparaissent sur Mac (Word, PowerPoint, Excel, Outlook) et Android (Word, PowerPoint).

 

 

La protection des documents classifiés sur un terminal Windows 10 s’intègre à Windows Information Protection (par exemple en séparant les données personnelles et professionnelles pour le copier-coller dans une application ou la sauvegarde dans un cloud).

Enfin Azure Information Protection Analytics entre en preview.

 

 

Enfin on notera que pour détecter le contenu sensible, outre les services et applications Office 365, on peut aussi utiliser AIP Scanner et MCAS. Un service dans Azure est également prévu.

Microsoft Teams s’offre des fonctions de DLP.

 

OneDrive for Business propose de conserver des vidéos et fichiers audio en fonction de mots clés, de faire du partage externe avec Azure B2B, d’approuver ou de rejeter des demandes d’accès et généralise la restauration de fichier par l’utilisateur (utilise en cas ransongiciel) à SharePoint et Microsoft Teams.

Enfin Azure Confidential Computing trouve de nouveaux débouchés. Rappelons que ceci permet d’effectuer des traitements avec des données qui ne sont déchiffrées qu’à l’intérieur du processeur et donc inaccessible au système d’exploitation, à l’hyperviseur ou à l’administrateur de la machine.

Gestion de la sécurité

Le Microsoft Score couvre désormais un périmètre plus large en incluant l’identité, les données, les terminaux, les applications et l’infrastructure (Windows, EMS, Office 365 et Azure). L’idée est toujours la même : obtenir un score en fonction des fonctionnalités de sécurité que vous utilisez, des activités de gestion que vous faites (regarder les logs, les alertes…) et vous permettre d’une part de vous comparer aux autres entreprises et d’avoir une liste des actions prioritaires pour améliorer votre posture (comme activer le MFA sur tous vos admins ; je sais je me répète).

De nombreux tableaux de bord font leur apparition et des consoles dédiées à l’administration, à la sécurité ou à la conformité font leur apparition.

 

Ce qu’il faut faire

Activer MFA

  • Protéger ses applications avec l’accès conditionnel Azure AD
  • Regarder Microsoft Threat Protection (https://security.microsoft.com)
  • Déployer Office 365 ATP, Windows Defender ATP, Azure ATP, Microsoft Cloud App Security, Intune
  • Azure Security Center
  • Commencer à classifier vos contenus
  • Commencer votre chemin vers le monde sans mots de passe
  • Utiliser les VM Azure Confidential Computing

 

Si vous ne pouvez regarder qu’une seule session le keynote GS008 est probablement celui qui aborde le plus de sujets.

Et vous, avez-vous repéré d’autres annonces qui valent le coup ?

 

Face aux cybermenaces, vous n’êtes pas seuls

Quelle est la bonne solution de sécurité Windows 10 pour votre organisation ? 

Contacter un expert