Donnez votre avis !               Depuis votre smartphone, sur :                http://notes.mstechdays.frDe nombreux lots...
Lutter contre les                 attaques ciblées                                           Cyril Voisin                 ...
Attaques à l‟aveugle | Attaques cibléesMENACES ACTUELLES
Attaques à l’aveuglehttp://microsoft.com/sir
Exploitations: tendances
Exploitations de formats de documents
Adoption des mises à jour de sécurité                                   Microsoft   Microsoft Adobe Oracle   Adobe Flash  ...
Attaques ciblées• Attaquants motivés  – Organisation avec des employés à temps plein  – Maintiennent à jour les profils de...
QUELQUES RAPPELS SUR LASÉCURITÉ
Objectifs de la sécurité• Confidentialité  – (secrets, propriété intellectuelle… à l‟ère de WikiLeaks    et des réseaux so...
Pas seulement des technologies…
La sécurité résulte de la combinaison de• Processus (gestion des risques, gestion des mises à jour, gestion de configurati...
Principes de sécurité• Il N‟y a PAS de sécurité          – Moindre privilège  absolue                           – Réductio...
Le dilemme du défenseur• Nécessité de tout protéger au bon niveau• L‟attaquant a seulement besoin d‟exploiter  UNE faibles...
ÉTAPES TYPIQUES D’UNE ATTAQUECIBLÉE
Étapes d’une attaque cibléeGestion (pouvoir):                         Ciblage de victimesContrôleurs de           Exécutio...
PASS THE HASH
Avertissement à propos de la démo•   Cette vidéo démontre l‟importance de l‟hygiène des crédentités•   Ce n‟est pas une pr...
Livre blanc contre le vol de crédentités• http://aka.ms/PtH• Liste les atténuations recommandées, nous  y reviendrons
APPROCHE DÉFENSIVESTRUCTURÉE
Deux horizons• Tactique / Court terme / Retours rapides  – Contrats de support, équipe interne de réponse à incident,    d...
Soyons réalistes• Vous êtes (probablement) une cible• D‟un point de vue pratique vous ne pouvez  pas tout protéger• Vous a...
Approche•   Protection•   Détection•   Confinement•   Réaction•   Récupération
Choisir un plan de récupération Présence et compétence de l‟attaquant faibles   Présence et compétence de l‟attaquant haut...
Arrêter ou ralentir significativement l‟attaquant3 MESURES ESSENTIELLES
1. Mises à jour de sécurité• Objectif: ne pas laisser de vulnérabilité  connue qui pourrait être exploitée par  l’attaquan...
2. Moindre privilège• Objectif: éviter de donner tous les droits à  l’attaquant• Administrateurs de domaine• Comptes de se...
Restreindre et protéger les comptes de domaine à hautprivilèges     Objectif                             Comment          ...
Restreindre et protéger les comptes locaux administrateurs     Objectif                            Comment                ...
Restreindre le trafic entrant avec le Pare-feu Windows     Objectif                              Comment                  ...
Recommendations (1)Recommendations               Effectiveness   Effort       Privilege    Lateral                        ...
Recommendations (2)More recommendations          Effectiveness   Effort       Privilege        Lateral                    ...
3. Liste blanche d’applications• Objectif: lister les applications autorisées  afin d’interdire les autres (notamment cell...
3 mesures essentielles• Mises à jour de sécurité de tous les logiciels• Restreindre et protéger les comptes  hautement pri...
MESURES SUPPLÉMENTAIRES
Autres mesures• Surveiller votre solution antivirale  – Exécution correcte, signatures à jour – peut vous donner des    in...
Autres mesures• Définir les données critiques et leur appliquer des  protections supplémentaires (au repos et en transit) ...
Autres mesures• Utiliser les modèles de sécurité   • Utiliser des pare-feu  (Security Compliance Manager)        personnel...
En pratique• Commencer par le               • En cas de récupération, une  durcissement des serveurs et     approche BIG B...
TIREZ PARTI DE CE QUE VOUSAVEZ
Tirer parti de ce que vous avez• Chiffrement de volume BitLocker (+démarrage  sécurisé, attestation avec Windows 8)• Liste...
Tirer parti de ce que vous avezSystem Center 2012• Configuration Manager (SCCM) pour la gestion des  mises à jour• Endpoin...
Tirer parti de ce que vous avez• Protéger le contenu et l‟usage des documents  sensibles avec Active Directory Rights Mana...
COMMENT MICROSOFT PEUT VOUSAIDER
Microsoft Services (Premier/MCS)  –   Security Health Check  –   ADSA+R  –   Revue d‟architecture de sécurité  –   Environ...
ADSA-R         •   Offre de services focalisée sur AD         •   3 parties :               – Analyse de sécurité selon le...
CONSIDÉRATIONSSUPPLÉMENTAIRES
Cloud computing• Cloud public  – Pour vos activités principales; vous partagez la    responsabilité avec le fournisseur de...
Détection d’intrus ?
RÉSUMÉ
Actions• Soyez préparé!• Engagez Microsoft et ses partenaires (proactivement:  évaluations de sécurité dans un premier tem...
4 ouvrages écrits par 13 Microsofteeshttp://www.editions-eyrolles.com/livres/Windows-8-pour-les-professionnels
ANNEXE
Autres sessions• Traitement dincidents de sécurité : cas  pratiques, retours dexpérience et  recommandations (SEC312) – Ph...
Dérober le condensat de l’administrateur localDérober le mot de passe en clair de la mémoire de LSA
Lutter contre les attaques ciblées avec quelques mesures simples et efficaces
Prochain SlideShare
Chargement dans…5
×

Lutter contre les attaques ciblées avec quelques mesures simples et efficaces

480 vues

Publié le

Toute organisation peut être la victime d’une attaque ciblée de la part d’attaquants déterminés afin de réaliser une intrusion, un déni de service, et éventuellement voler des données de manière furtive, ou bien détruire les disques durs des machines du système d’information. Avec le recul, force est de constater que dans la très grande majorité des cas, de simples mesures auraient permis soit de stopper, soit de nettement ralentir l’attaque. Venez participer à cette session pour obtenir une liste d’actions que vous pouvez mettre en œuvre maintenant pour augmenter de manière spectaculaire votre niveau de sécurité et devenir une cible difficile à atteindre. Quelques astuces pour déterminer si vous êtes déjà la victime d’une attaque ciblée seront également partagées

0 commentaire
2 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
480
Sur SlideShare
0
Issues des intégrations
0
Intégrations
3
Actions
Partages
0
Téléchargements
15
Commentaires
0
J’aime
2
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive
  • Notation
  • Intro Serveurs / Entreprise / Reseaux / IT
  • An exploit is malicious code that takes advantage of software vulnerabilities to infect, disrupt, or take control of a computer without the user’s consent and usually without the user’s knowledge. Exploits target vulnerabilities in operating systems, web browsers, applications, or software components that are installed on the computer. In some scenarios, targeted components are add-ons that are pre-installed by the computer manufacturer before the computer is sold. A user may not even use the vulnerable add-on or be aware that it is installed. Some software has no facility for updating itself, so even if the software vendor publishes an update that fixes the vulnerability, the user may not know that the update is available or how to obtain it, and therefore remains vulnerable to attack. The number of computers reporting exploits delivered through HTML or JavaScript remained high during the first half of 2012, primarily driven by the continued prevalence of Blacole, the most commonly detected exploit family in 1H12.Java exploits, the second most common type of exploit detected in 1H12, rose throughout the period, driven by increased detection of exploits for CVE-2012-0507 and CVE-2011-3544.Exploits that target vulnerabilities in document readers and editors were the third most commonly detected type of exploit during 2H11, due primarily to detections of exploits that target older versions of Adobe Reader.
  • Document parser exploits are exploits that target vulnerabilities in the way a document editing or viewing application processes, or parses, a particular file format. Exploits that affect Adobe Reader and Adobe Acrobat accounted for most document format exploits detected throughout the last four quarters. Most of these exploits were detected as variants of the generic exploit family Win32/Pdfjsc. As with many of the exploits discussed in this section, Pdfjsc variants are known to be associated with the JS/Blacole exploit kit. In most cases, the vulnerabilities targeted by these exploits had been addressed with security updates or new product versions several months or years earlier.Exploits that affect Microsoft Office and Ichitaro, a Japanese-language word processing application published by JustSystems, accounted for a small percentage of exploits detected during the period.
  • Intent to persist accessAlways get copy of Active Directory (all password hashes)Typically custom malware on random hosts
  • Bad guy targets workstations en masse User running as local admin compromised, Bad guy harvests credentials.Bad guy starts “credentials crabwalk”Bad guy finds host with domain privileged credentials, steals, and elevates privilegesBad guy owns network, can harvest what he wants.
  • Cette vidéo démontre l’importance de l’hygiène des crédentités.Ce n’est pas une problématique spécifique à Windows (System sur Windows = root sur Linux/Unix = accès complet à tous les secrets sur le disque ou en mémoire, si vous savez où les trouver)L’attaque Pass the Hash n’exploite pas une vulnérabilité, les mêmes privilèges systèmes nécessaires à cette méthode permettent égalementD’enregistrer toutes les frappes du clavierD’enregistrer tous les clics de sourisDe faire des captures d’écran à volontéDe créer de nouveaux comptes administrateurs locaux sur la machineL’outil de la démo est disponible publiquement et a été écrit et publié par un chercheur en sécurité indépendant (Microsoft n’en est pas l’auteur)Nous avons téléchargé l’outil depuis un site Web public (un blog, pas un site de hackers underground)Nous avons réalisé la démo dans un environnement isolé and nous ne permettrons pas à l’outil de toucher un réseau client
  • Prévention (protection et isolation)Plan de continuité d’activité, évaluation des risques, évaluation des vulnérabilités sur le réseau, revue de code d’application, politiques et procédures, défense en profondeur, durcissement, préparation à l’analyse post mortem, planification de la réponse à incident, détection d’intrusionDétectionRéponse (et récupération)Acquisition post mortem, réponse à incident et remèdes, examen post mortem et rapport, revue d’incident
  • Effectiveness Depends on Execution
  • Aucun utilisateur ne doit être administrateur local de leur machine, même les administrateursLes administrateurs de domaine ne doivent jamais ouvrir de session interactive sur une station de travail ou un serveur membre du domaine (seulement sur les contrôleurs de domaine)Les comptes de service à hauts privilèges sont un risque
  • Mitigation 1 - Restrict and protect high privilegeddomainaccounts
  • Mitigation 2 - Restrict and protect local accounts with administrative privilegesprojet de gestion des mots de passe par GPO : http://code.msdn.microsoft.com/windowsdesktop/Solution-for-management-of-ae44e789+fonctionnalités Managed Service Accounts et Group Managed Service Accounts
  • Mitigation 3 - Restrict inbound traffic using the Windows Firewall
  • LivrablesDocument synthétique du Statut de l'existant (Word)Inventaire de l’environnement AD et plate-forme management (Excel)Liste des configurations erronées (Excel)Liste des corrections immédiates (Excel)Document de divergence (Word)Plan de remédiation (Word)
  • http://www.editions-eyrolles.com/livres/Windows-8-pour-les-professionnels/
  • Lutter contre les attaques ciblées avec quelques mesures simples et efficaces

    1. 1. Donnez votre avis ! Depuis votre smartphone, sur : http://notes.mstechdays.frDe nombreux lots à gagner toutes les heures !!! Claviers, souris et jeux Microsoft… Merci de nous aider à améliorer les TechDayshttp://notes.mstechdays.fr
    2. 2. Lutter contre les attaques ciblées Cyril Voisin Chief Security Advisor Microsoft Gulf @cyrilvoisin #SEC203 http://blogs.technet.com/voyEntreprise / IT / Serveurs / Réseaux / Sécurité
    3. 3. Attaques à l‟aveugle | Attaques cibléesMENACES ACTUELLES
    4. 4. Attaques à l’aveuglehttp://microsoft.com/sir
    5. 5. Exploitations: tendances
    6. 6. Exploitations de formats de documents
    7. 7. Adoption des mises à jour de sécurité Microsoft Microsoft Adobe Oracle Adobe Flash Security Update Status Windows Word Reader Java Player Missing latest update* 34% 39% 60% 94% 70% Missing three latest updates 16% 35% 46% 51% 44%
    8. 8. Attaques ciblées• Attaquants motivés – Organisation avec des employés à temps plein – Maintiennent à jour les profils de vos employés et de votre organisation • Qui a accès à ce qu‟ils veulent • Qui sont les administrateurs • Qui clique sur les emails de phishing• Feront le nécessaire pour vous atteindre• Iront là où vous irez• Buts: espionnage, modifications, sabotage
    9. 9. QUELQUES RAPPELS SUR LASÉCURITÉ
    10. 10. Objectifs de la sécurité• Confidentialité – (secrets, propriété intellectuelle… à l‟ère de WikiLeaks et des réseaux sociaux)• Intégrité – (données et systèmes)• Disponibilité – (données et systèmes)
    11. 11. Pas seulement des technologies…
    12. 12. La sécurité résulte de la combinaison de• Processus (gestion des risques, gestion des mises à jour, gestion de configuration, etc.)• Personnes (employés, sous-traitants, admins, développeurs, utilisateurs, menace intérieure…)• Technologies (pas seulement des technologies de sécurité)
    13. 13. Principes de sécurité• Il N‟y a PAS de sécurité – Moindre privilège absolue – Réduction de la surface• Gestion des risques d‟attaque – (bien, vulnérabilité, – Isolation menace, atténuation) contre élimination des – Audit / traçabilité risques – Besoin d‟en connaître• Défense en profondeur – Séparation et rotation des Mise en place de plusieurs rôles couches de protection pour ralentir ou arrêter l‟attaquant – Sécurité positive (réseau, hôte, application…)
    14. 14. Le dilemme du défenseur• Nécessité de tout protéger au bon niveau• L‟attaquant a seulement besoin d‟exploiter UNE faiblesse pour compromettre l‟entreprise
    15. 15. ÉTAPES TYPIQUES D’UNE ATTAQUECIBLÉE
    16. 16. Étapes d’une attaque cibléeGestion (pouvoir): Ciblage de victimesContrôleurs de Exécution de code par exploitationdomaine d’une faiblesse Élévation de privilèges si nécessaire “déplacement latéral”Données et applis Installation d’un malware ou d’une(valeur): boîte à outilsServeurs etApplications Recherche de crédentités puissantes (admins)Terminaux Propagation par le réseau(accès):Utilisateurs et Exfiltration de données ou destructionstations detravail
    17. 17. PASS THE HASH
    18. 18. Avertissement à propos de la démo• Cette vidéo démontre l‟importance de l‟hygiène des crédentités• Ce n‟est pas une problématique spécifique à Windows (System sur Windows = root sur Linux/Unix = accès complet à tous les secrets sur le disque ou en mémoire, si vous savez où les trouver)• L‟attaque Pass the Hash n‟exploite pas une vulnérabilité, les mêmes privilèges systèmes nécessaires à cette méthode permettent également – D‟enregistrer toutes les frappes du clavier – D‟enregistrer tous les clics de souris – De faire des captures d‟écran à volonté – De créer de nouveaux comptes administrateurs locaux sur la machine• L‟outil de la démo est disponible publiquement et a été écrit et publié par un chercheur en sécurité indépendant (Microsoft n‟en est pas l‟auteur)• Nous avons téléchargé l‟outil depuis un site Web public (un blog, pas un site de hackers underground)• Nous avons réalisé la démo dans un environnement isolé and nous ne permettrons pas à l‟outil de toucher un réseau client
    19. 19. Livre blanc contre le vol de crédentités• http://aka.ms/PtH• Liste les atténuations recommandées, nous y reviendrons
    20. 20. APPROCHE DÉFENSIVESTRUCTURÉE
    21. 21. Deux horizons• Tactique / Court terme / Retours rapides – Contrats de support, équipe interne de réponse à incident, durcissement, moindre privilège…• Stratégique / Long terme / Approche globale / Sécurité comme un atout pour l‟entreprise – Initiative sécurité complète, politique de sécurité mettant en œuvre les bonnes pratiques (prévention, détection, audit, réponse à incident, récupération post incident, continuité de l‟activité, security development lifecycle), rapport pour les dirigeants mesures clés, certification ISO 27001 avec un périmètre significatif, cloud computing, etc.
    22. 22. Soyons réalistes• Vous êtes (probablement) une cible• D‟un point de vue pratique vous ne pouvez pas tout protéger• Vous allez être attaqué (si ce n‟est pas déjà fait)=> Agir en fonction des risques (biens etpersonnes clés, et tout ce dont ils dépendent)
    23. 23. Approche• Protection• Détection• Confinement• Réaction• Récupération
    24. 24. Choisir un plan de récupération Présence et compétence de l‟attaquant faibles Présence et compétence de l‟attaquant hautes Aucune probabilité de persistance Persistance assurée Haute efficacité Efficacité dépendante Basse efficacité inhérente de l’exécution inhérente
    25. 25. Arrêter ou ralentir significativement l‟attaquant3 MESURES ESSENTIELLES
    26. 26. 1. Mises à jour de sécurité• Objectif: ne pas laisser de vulnérabilité connue qui pourrait être exploitée par l’attaquant• TOUS les logiciels (y compris Java, Adobe…)• Dans un délai raisonnable• Processus, pas action coup de poing• Rappel: fin de vie de Windows XP
    27. 27. 2. Moindre privilège• Objectif: éviter de donner tous les droits à l’attaquant• Administrateurs de domaine• Comptes de services• Administrateur local
    28. 28. Restreindre et protéger les comptes de domaine à hautprivilèges Objectif Comment RésultatCette atténuation • Empêcher les comptes administrateurs du Un attaquant nerestreint la domaine et de l‟entreprise (DA/EA) de peut pas dérober lapossibilité pour s‟authentifier sur des machines d‟un niveau de crédentité d‟unles confiance inférieur compte si celle-ciadministrateurs • Fournir aux administrateurs des comptes pour n‟est jamais utiliséed‟exposer par remplir leur devoir d‟administration sur la machine qu‟ilmégarde leurs • Assigner des stations de travail dédiées pour les a compromisecrédentités sur tâches administrativesdes machines à • Marquer les comptes privilégiés comme “compteplus haut risque […] sensible[s] et ne peu[ven]t pas être délégué[s] ” • Ne pas configurer des tâches planifiées ou des services pour utiliser des comptes de domaine privilégiés sur des machines d‟un niveau de confiance inférieur
    29. 29. Restreindre et protéger les comptes locaux administrateurs Objectif Comment RésultatCette atténuation • Mettre en œuvre les restrictions disponibles dans Un attaquant quirestreint la Windows Vista/7/8 qui empêchent les comptes obtient lapossibilité pour locaux d‟être utilisés pour l‟administration à crédentité d‟unles attaquants distance compte local d‟uned‟utiliser des • Interdire explicitement les droits machinecomptes locaux d‟authentification par le réseau ou par Bureau à compromise neadministrateurs ou distance (RD) pour tous les comptes locaux peut pas l‟utiliserleurs équivalents administrateurs pour effectuer unpour des • Créer des mots de passe uniques pour les mouvement latéralmouvements comptes ayant des droits administrateurs locaux sur le réseau delatéraux de type l‟organisationattaque PtH
    30. 30. Restreindre le trafic entrant avec le Pare-feu Windows Objectif Comment RésultatCette atténuation • Restreindre tout trafic entrant sur toutes les Un attaquant quirestreint la stations de travail sauf pour celles où un trafic obtient n‟importepossibilité pour entrant de source sure est attendu (tel que quel type deles attaquants depuis les stations de travail du helpdesk, les crédentité ned‟initier un analyseurs de conformité et serveurs) pourra pas semouvement connecter auxlatéral depuis une autres stations demachine travailcompromise enbloquant lesconnexions réseauentrantes
    31. 31. Recommendations (1)Recommendations Effectiveness Effort Privilege Lateral required escalation movementRemove standard users from Excellent High √ -the local administratorsgroupLimit the number and use of Good Medium √ -privileged domain accountsConfigure outbound proxies Good Low √ -to deny Internet access toprivileged accountsEnsure administrative Good Low √ -accounts do not have emailaccounts
    32. 32. Recommendations (2)More recommendations Effectiveness Effort Privilege Lateral required escalation movementUse remote management Good Medium √ -tools that do not placereusable credentials on aremote computer‟s memoryAvoid logons to potentially Good Low √ √compromised computersUpdate applications and Partial Medium - -operating systemsSecure and manage domain Partial Medium - -controllersRemove LM Hashes Partial Low - -
    33. 33. 3. Liste blanche d’applications• Objectif: lister les applications autorisées afin d’interdire les autres (notamment celles lancées par l’attaquant)• AppLocker dans Windows 7 / Windows 8 – Signatures numériques – Chemin de confiance local
    34. 34. 3 mesures essentielles• Mises à jour de sécurité de tous les logiciels• Restreindre et protéger les comptes hautement privilégiés (admins)• Liste blanche d‟applications
    35. 35. MESURES SUPPLÉMENTAIRES
    36. 36. Autres mesures• Surveiller votre solution antivirale – Exécution correcte, signatures à jour – peut vous donner des indices sur un comportement anormal (l‟attaquant peut arrêter les services antiviraux) – Attention: une attaque ciblée utilisera une version non détectée d‟une boîte à outils / d‟un malware qui ne sera pas captée par votre antivirus (vos défenses ne doivent donc pas se reposer uniquement sur un antivirus)
    37. 37. Autres mesures• Définir les données critiques et leur appliquer des protections supplémentaires (au repos et en transit) – Chiffrement avec RMS (Active Directory Rights Management Services) – Ségréguer l‟accès aux données des administrateurs de domaine – Utiliser IPsec pour empêcher la capture via le réseau et mettre en place l‟isolation de domaine et de serveurs (qui vérifie que l„utilisateur et la machine qui essaient de se connecter à une machine ont le droit d‟établir une connexion réseau; par exemple un serveur RH peut exiger que l‟accès ne soit permis que depuis une station RH utilisée par un utilisateur de la RH) – Faire des sauvegardes régulières; tester les restaurations; garder des sauvegardes hors site et hors ligne
    38. 38. Autres mesures• Utiliser les modèles de sécurité • Utiliser des pare-feu (Security Compliance Manager) personnels• Sécurité physique • Segmenter et ségréguer le• Filtrer les emails réseau + NAP• Filtrer le contenu Web • Durcir les applications• Contrôler les disques • Déployer une amovibles authentification forte• Eduquer les utilisateurs • Déployer un audit centralisé• Mettre en place une politique de mots de passe forts • Surveiller les intrusions • Capter le trafic réseau…
    39. 39. En pratique• Commencer par le • En cas de récupération, une durcissement des serveurs et approche BIG BANG stations critiques recommandée après un test• Protéger les comptes clés pilote en laboratoire d‟abord (puis les autres)• Utiliser des mesures de détection et déployer des leurres
    40. 40. TIREZ PARTI DE CE QUE VOUSAVEZ
    41. 41. Tirer parti de ce que vous avez• Chiffrement de volume BitLocker (+démarrage sécurisé, attestation avec Windows 8)• Liste blanche d‟applications avec AppLocker• Pare-feu Windows• Connectivité, gestion et sécurité des machines mobiles avec DirectAccess• Protection contre les machines non saines avec NAP• Isolation de domaine et de serveurs avec IPsec
    42. 42. Tirer parti de ce que vous avezSystem Center 2012• Configuration Manager (SCCM) pour la gestion des mises à jour• Endpoint Protection (SCEP) pour l‟antimalware• Audit Collection Services (ACS de SCOM) pour la centralisation des audits• Data Protection Manager (DPM) pour les sauvegardes• Orchestrator pour l‟automatisation• …
    43. 43. Tirer parti de ce que vous avez• Protéger le contenu et l‟usage des documents sensibles avec Active Directory Rights Management Services (RMS)• Déployer des certificats / IGC avec Active Directory Certificates Services (AD CS)• Gestion des identités avec FIM (Forefront Identity Manager)• Fédération des identités (AD FS)• Exchange Online Protection (EOP, ex FOPE)• Etc.
    44. 44. COMMENT MICROSOFT PEUT VOUSAIDER
    45. 45. Microsoft Services (Premier/MCS) – Security Health Check – ADSA+R – Revue d‟architecture de sécurité – Environnement d‟administration durci – …
    46. 46. ADSA-R • Offre de services focalisée sur AD • 3 parties : – Analyse de sécurité selon les critères du Security Compliance Manager (SCM) – entre 200 et 400 paramètres – Analyse de l‟appartenance aux groupes privilégiés – Questionnaire sur les pratiques d‟administration - ~150 questions • Livrables – Rapport détaillé – Synthèse des priorités et recommandations – Restitution aux interlocuteurs directs et au management, recommandations, priorités – Présentation pour le management avec un résumé pour les VIP
    47. 47. CONSIDÉRATIONSSUPPLÉMENTAIRES
    48. 48. Cloud computing• Cloud public – Pour vos activités principales; vous partagez la responsabilité avec le fournisseur de cloud – Pour la gestion d‟incidents (VM en veille, messagerie isolée dans Office365 pour la gestion de crise, etc.)• Cloud privé – Automatisation, cohérence des différentes charges pour mettre en œuvre les bonnes pratiques• Cloud hybride (mélange des deux)
    49. 49. Détection d’intrus ?
    50. 50. RÉSUMÉ
    51. 51. Actions• Soyez préparé!• Engagez Microsoft et ses partenaires (proactivement: évaluations de sécurité dans un premier temps dont ADSA-R, puis revue d‟architecture de sécurité / Premier; de manière réactive si nécessaire)• Appliquez les mesures à haut rendement maintenant pour votre infrastructure (gestion des mises à jour de sécurité, moindre privilège et contrôle des comptes privilégiés, liste blanche, pare-feu de stations, durcissement…)• Tirez parti des logiciels que vous avez déjà• Déployez une Plateforme de Services Partagée comme fondation pour mettre en œuvre automatiquement les mesures ci-dessus
    52. 52. 4 ouvrages écrits par 13 Microsofteeshttp://www.editions-eyrolles.com/livres/Windows-8-pour-les-professionnels
    53. 53. ANNEXE
    54. 54. Autres sessions• Traitement dincidents de sécurité : cas pratiques, retours dexpérience et recommandations (SEC312) – Phil Vialle et Patrick Chuzel• Létat de la menace avancée (dite APT) (SEC403) – Nicolas Ruff
    55. 55. Dérober le condensat de l’administrateur localDérober le mot de passe en clair de la mémoire de LSA

    ×