La stratégie de sécurité de Microsoft

583 vues

Publié le

Depuis l’annonce par Microsoft du lancement de l’initiative pour l’informatique de confiance le 15 janvier 2002, le panorama des menaces a beaucoup évolué ; de même l’architecture des systèmes des informations et l’utilisation de l’internet dans nos vie de tous les jours. Irruption de la consumérisation de l'informatique, remise en cause de la notion de périmimètre de sécurité du système d'information, Cloud Computing,... tout cela dans un contexte où les menaces deviennent de plus en plus ciblées. Le but de cette session est de faire le point sur la stratégie sécurité de Microsoft en évoquant ses évolutions les plus récentes.

Publié dans : Technologie
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
583
Sur SlideShare
0
Issues des intégrations
0
Intégrations
2
Actions
Partages
0
Téléchargements
22
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

La stratégie de sécurité de Microsoft

  1. 1. palais descongrèsParis7, 8 et 9février 2012
  2. 2. La stratégie sécurité deMicrosoftCode Session : SEC2101Bernard OurghanlianDirecteur Technique et SécuritéMicrosoft France
  3. 3. Sommaire
  4. 4. Trustworthy Computing,L’informatique digne deconfiance• Sécurise contre les • Protège contre une • Fiable, disponible • Engagement sur une attaques communication non désirée • Service prévisible, cohérent, interopérabilité centrée sur le• Protège la confidentialité, • Choix et contrôle par l’utilisateur réactif client l’intégrité et la • Produits, services en ligne qui • Maintenable • Leader de l’industrie reconnu, disponibilité des données adhèrent à des principes • Résilient, facilement restauré partenaire fiable et des systèmes d’information équitables • Prouvé, prêt • Ouvert, Transparent• Aide à gérer les risques
  5. 5. Tendances informatiques etsociétales
  6. 6. Dans les nouvelles… Sony Finds More Cases of Hacking of Its Servers By NICK BILTON , May 2, 2011 Sony said Monday that it had discovered that more credit card information and customer profiles had been compromised during an attack on its servers last week. Microsoft Exposes Scope of Botnet Threat By Tony Bradley, October 15, 2010 Microsofts latest Security Intelligence Report focuses on the expanding threat posed by bots and botnets. Microsoft this week unveiled the ninth volume of its Security Intelligence Report (SIR). The semi-annual
  7. 7. Expérience et réalisations deMicrosoft Malware Memo Protection BillG Center Global Microsoft Security Foundation Response Center Services (MSRC) (GFS)
  8. 8. Stratégie sécurité de Microsoft LES FONDAMENTAUX DE LA SECURITE INNOVATIONS TECHNOLOGIQUES LEADERSHIP
  9. 9. Microsoft Security DevelopmentLifecycle Education Processus Imputabilité Etablir des critères Réponse sur Administrer et suivre Aider les équipes produits à se conformer aux exigences de pour la sortie d’une la formation en sécurité Incident SDL LES FONDAMENTAUX version et approbation (RFS) (MSRC) DE LA SECURITE Formation Exigences Conception Implémentation Vérification Version Réponse Etablir exigences Etablir les Plan de réponse Utiliser les outils de sécurité conception INNOVATIONS dynamique exigences de la autorisés Analyse sur Incident Etablir niveaux Exécuter le plan Formation sécurité de base qualité /bogues TECHNOLOGIQUES Testing Analyser la Déprécier les fonctions non Fuzz Revue Finale de de réponse sur surface d’attaque Sécurité incident Evaluation de sûres Revue de la risques sécurité et Modéliser les surface d’attaque Archivage de la Analyse statique vie privée menaces LEADERSHIP version Améliorations permanentes du processus – Cycle de 12 mois
  10. 10. Le panorama de la sécurité Cloud Privé Cloud Public APPS Sur place Online PROTECTION DE CONTRÔLE ANTI- GESTION DES RECHERCHE DEVELOPPEMENT L’INFORMATION D’ACCESS MALWARE POLITIQUES & REPONSE SECURISE TERMINAUX
  11. 11. Technologies Microsoft etRessources Cloud Privé Cloud Public Sur place Online PROTECTION DE CONTRÖLE ANTI- GESTION DES RECHERCHE DEVELOPPEMENT L’INFORMATION D’ACCESS MALWARE POLITIQUES & RERPONSE SECURISE TERMINAUX
  12. 12. Protection du Client de bout en bout Protéger contre et gérer les Protéger les données Sécuriser l’accès aux menaces sensibles ressources Universal Extensible Firmware Interface (UEFI) Trusted Platform Model (TPM) • Maintenir le logiciel avec une solution de gestion des • Sécuriser les données au repos avec du • Gérer tout le cycle de vie de l’identité Scénarios correctifs chiffrement • Valider l’identité des utilisateurs avec • Fournir du logiciel sécurisé par conception • Protéger les données en mouvement avec le l’authentification forte • Opérer une plateforme et des applications résistantes chiffrement • Accès distant sécurisé et toujours connecté aux malwares • Protéger les données en utilisation avec des • Protéger les ressources alors que contrôles d’accès l’environnement change Produits Fonctionnalités Boot sécurisé Comptes utilisateurs Windows Windows 7 BitLocker Active Directory Boot mesuré standard MDOP -BitLocker Administration and Monitoring Direct Access Vue protégée User Account Control et AppLocker Office Information Rights Management (IRM) Network Access Protection Smart Screen Applications Modernes Windows Encrypted File System Contrôle d’accès dynamique IE Security Development Lifecycle Active Directory Rights Management Services (SDL)
  13. 13. Windows Phone
  14. 14. Environnement Cloud Microsoft Services Cloud Services Services Services tiers Consommateur Enterprise hébergés et PME Services de la Plateforme Cloud Infrastructure Cloud Infrastructure Sécurité Global Soutenable Global Foundation Services
  15. 15. Vous aider à vous conformer àvos exigences de conformité Services Cloud Services Services Services tiers consommateure t PME Enterprise Infrastructure hébergés Services de la Services Cloud Cloud plateforme Cloud Utilisateurs Services de la Données Consommateur du Cloud plateforme Cloud Application Hôte Infrastructure Réseau Fournisseur du Cloud Cloud Physique
  16. 16. Capacités de l’infrastructureMicrosoft en termes de conformité Certification ISO / IEC 27001:2005 Attestations SAS 70 Type I et II (En cours de transition vers SSAE 16/ISAE 3402 SOC 1, 2, et 3) HIPAA/HITECH (US seulement) Certification standard de sécurité des données PCI Certification et accréditation FISMA (US seulement) Conformité à diverses lois en termes de vie privée 95/46/EC, c.à.d.. Directive Européenne de protection des données Clauses standards (en conformité avec les demandes du groupe de l’article 29)
  17. 17. Sécurité de la plateforme Cloud Couche Défenses Conformités Utilisateur • Gestion des comptes, formation et sensibilisation, dépistage Safe Harbor EU-US Oui • Service de contrôle d’accès ouvert et interopérable Certification ISO / IEC Oui Données • Clés de stockage fortes pour le contrôle d’accès 27001:2005 • Support de SSL pour les transferts de données entre toutes les parties SSAE 16 Mi-2012 Application • Code front-end écrit avec le .NET framework en mode partial trust • Comptes à faibles privilèges HIPAA BAA Planifié Hôte • Version allégée de Windows Server 2008 R2 • Frontières du hôte rendues obligatoires par un hyperviseur externe PCI DSS Planifié Réseau • Pare-feu hôte limitant le trafic vers les VM • VLAN et filtres de paquets dans les routeurs FISMA Planifié Physique • Fourni par Global Foundation Services
  18. 18. Sécurité des services Cloud Couche Défenses Conformités Utilisateur • Gestion des comptes, formation et sensibilisation, dépistage Certification ISO / IEC Oui (depuis la sortie) 27001:2005 Données • Contrôle d’accès et surveillance, intégrité des SAS-70 Type I Oui (SSAE SOC 1 Type I) fichiers/données Application • Ingénierie sécurisée (SDL), contrôle d’accès et surveillance, SAS-70 Type II 2ème semestre 2012 (SSAE SOC 1 Type II) anti-malware, S/MIME FISMA 1er semestre 2012 Hôte • Contrôle d’accès et surveillance, anti-malware, gestion de HIPAA/BAA Exchange Online : Oui patch et de configuration Lync Online: Oui SharePoint Online: 1er semestre 2012 Réseau • Interne : Authentification à deux facteurs, détection « Model Clauses » • EU Safe Harbor – Oui d’intrusion, analyse des vulnérabilités Européennes • Peut être signé pour les clients en AE • Externe : Routeurs de bordure, détection d’intrusion, analyse depuis le 1er juin 2011, effectif depuis des vulnérabilités Q4 2011 • Effectif pour tous clients depuis Q4 2011 Physique • Fourni par Global Foundation Services Accord de traitement Peut être signé depuis le 1 juin 2011 au de données sein d’un AE
  19. 19. Windows Server Sécurisé à la base Virtualisation de Serveur et Gestion d’identités et de Cloud Privé politiques Windows Server Core Architecture basé sur une Active Directory File Classification architecture micronoyau Read-Only Domain Controller Infrastructure Hyperviseur à accès restreint Federation Services Direct Access Isolation complète de l’invité Rights Management Services Bitlocker Surveillance et politiques Certificate Authority Services Isolation de Serveur et de rendues obligatoires par la partition parente Intégration des Services Cloud domaine Management par System Forefront Identity Manager Network Access Protection Center Signature du code en mode Kernel
  20. 20. Microsoft SQL Server Aider à faciliter de mise en conformité des organisations Protection des données Contrôle d’accès Assurer la conformité Aide à protéger vos données avec une Contrôle d’accès à vos données en Assure la conformité avec les solution de base de données connue gérant efficacement l’authentification et politiques de l’entreprise ou les historiquement pour disposer du plus l’autorisation et en ne fournissant l’accès réglementations telles que SOX,faible nombre de vulnérabilités du marché qu’aux utilisateurs autorisés LSF, PCI, et Critères Communs Chiffrement de données transparent Authentification Kerberos Gestion basée sur les politiques Chiffrement de la sauvegarde Rôles Serveur définis par l’utilisateur Audit défini par l’utilisateur, filtrage et Gestion extensible de clés Schéma par défaut pour les groupes résilience Améliorations du chiffrement Audit SQL Server Audit dans touts les versions Authentification base de données confinée Changement de la capture des données Whitepaper “SQL Server Delivers Industry-Leading Security” by ITIC, a leading analyst firm Exemples Whitepaper “Supporting HIPAA Compliance with SQL Server,” by Information Security Center of Expertise at Jefferson Wells International, Inc, a leading Risk Advisory and Security Compliance services organization. Whitepaper “Deploying SQL Server Based on Payment Card Industry Data Security Standards (PCI DSS 2.0),” by certified audit firm, Parente Randolph (now ParenteBeard). KB Support Article How to use SQL Server in FIPS 140-2 compliant mode
  21. 21. Productivité Communiquer et collaborer de manière plus sécurisée en utilisant Exchange, SharePoint, Lync, and Office Protection Complète Sécurité de l’Information Visibilité et Contrôle Protection en plusieurs couches Règles de politique Administration, reporting et audit contre spam et malware permettant d’inspecter les intégrés mails en transit Efficacité garantie par 5 SLA Contrôle granulaire sur les accès admettant contrepartie Intégration avec AD RMS et les permissions des utilisateurs financière pour protéger les données sensibles Politiques de sécurité pour les Contrôles au sein des produits terminaux mobiles et effacement afin d’aider les utilisateurs à se Chiffrement de bout en bout des terminaux à distance protéger contre les menaces des communications
  22. 22. L’agenda du RSSI de Microsoft + 100 pays • Intellectual • Support for Rapidly 190 000 utilisateurs Property 41 000 terminaux WP 7 Protection Changing Business + 1000 applications • Increased Data • Need for Improved + 700 000 Sites SharePoint 8 Datacenters de production Leakage and Portability Business Intelligence • Building robust 10 000 serveurs de production • Insider Threats continuity plans + 12 000 machines virtuelles • Risk Management vs. • Deliver First and Best Risk Elimination 1,3 million de terminaux (products & services) • Business • Continuity MSIT • “Cloud” (RSSI) • Better Integration Computing _ with Board/ERM • Data Loss • Vendor and 3rd Party + 102 000 Clients Windows 7 Prevention Management microsoft.com, 1,7 Milliards • SIEM Platforms and • Asset and Configuration de hits/jour + 109 000 Clients Office Programs Management 2010 • IAM Governance • Executive Reporting 7 Millions spam filtrés par jour 49 % des utilisateurs sur and Metrics OCS/Lync and Process • Awareness 85 Millions IM par mois • Emerging Une seule instance SAP sur and training SQL Server 2008 R2 technologies 34 000 sessions de collaboration virtuelle par mois Source: “Trends in Information Protection for 2008” Presentation for SC Magazine WebCast, January 9, 2008
  23. 23. La consumérisation et sesmanifestations dans l’entreprise Import des usages innovants depuis la maison  Exemple du succès des téléphones portables dans l’entreprise  Messagerie instantanée ou réseaux sociaux « Floutage » de la frontière entre la maison et le bureau  Massification de l’utilisation des PC portables, des tablettes, des Smartphones,… Changement de certaines politiques d’achat  Contournement de la DSI par les métiers avec un achat direct en mode « consommateur »…
  24. 24. Quelques principes permettantla consumérisation Accès au patrimoine informationnel en fonction de Qui vous êtes  Lecture, Lecture/Ecriture, Contrôle complet Quel est le niveau de confiance dans le terminal  Géré, non géré Où est le terminal  Réseau d’entreprise  Internet  Pays hostile
  25. 25. Le niveau d’accès augmenteavec la confiance Plein accès aux Applications applications métiers Accès aux applications métiers dans le Cloud sur le réseau métiers d’entreprise Niveau d’accès Accès au stockage de documents Accès aux documents internes et aux Documents dans le Cloud sites à travers l’Internet Possibilité d’ouvrir des messages email protégés par un Digital Rights Email, Management (DRM) calendrier, contacts Possibilité d’accéder aux emails, calendrier et contacts Non géré Géré Niveau de confiance de l’IT
  26. 26. Technologies permettant laConsumérisation Isolation  Isolation de serveur et de domaine (IPSec)  Contrôle de l’état de santé des terminaux - Network Access Protection (NAP)  Services de gestion de droits numériques – Rights Management Services - RMS Accès  Unified Access Gateway (UAG)  Terminal Server Access Gateway (TSG)  Virtual Desktop Infrastructure (VDI)  Remote Desktop Services (RDS)  Application distante RDS
  27. 27. Isolation de serveur et dedomaine Contrôleur de domaine Active Directory Réseau d’entreprise Serveur de ressources digne de confiance X Serveurs avec des Station RH données sensibles Ordinateur non géré X Isolation de serveur Ordinateur Indigne de Ordinateur géré confiance géré Isolation de domaine Les ordinateurs gérés peuvent communiquer Distribution des politiques et des indignes de Permettre les accès depuis ordi. crédentités Definir les frontières d’isolation logiques Bloquer connexions entrantes aux ressources sensibles confiance
  28. 28. Isolation : Network Access ProtectionNetwork Access ProtectionSolution basée sur des politiques qui :• Valide si les ordinateurs sont conformes aux politiques de « santé »• Limite les accès des ordinateurs non conformes• Corrige automatiquement les ordinateurs non conformes• Met à jour en continu les ordinateurs conformes pour maintenir leur état de santé Clients Intranet Les points forts de la solution Fondée sur des standards Partenaires Plug and Play Fonctionne avec la plupart des terminaux Supporte plusieurs solutions antivirus Est devenu le standard pour le contrôle d’accès réseau Employés distants
  29. 29. Network Access ProtectionComment cela fonctionne-t-il ? 1 Serveurs de politiques Patch,AV,… 1 Accès demandé 2 Etat de santé envoyé au NPS Microsoft 3 Network Policy Server (RADIUS) Serveursde Non conforme à la politique 5 remédiation 3 Le NPS autorise en fonction de la 2 Réseau Patch,AV,… politique de santé restreint Conforme à la 4 Si conforme, accès donné DCHP, VPN politique Switch/Routeur Réseau d’entreprise 5 Si non conforme, 4 accès restreint au réseau et remédiation
  30. 30. Protéger le capital intellectuel :Flux RMS 1. L’auteur reçoit un certificat de licence la « première SQL Server Active Directory fois » qu’il protège les droits d’accès à une information 2. L’auteur définit un ensemble de droits d’usage et de règles pour ses fichiers, l’application crée une « licence de publication » et chiffre le fichier Windows Server tournant RMS 3 3. L’auteur distribue le fichier 1 4 4. Le destinataire clique sur le fichier pour l’ouvrir, 2 5 l’application compatible RMS appelle le serveur RMS qui valide l’utilisateur et émet une « licence 3 d’utilisation » 5. L’application compatible RMS affiche le fichier et Auteur utilisant Office Le destinataire rend obligatoire les droits d’accès et d’utilisation du fichier
  31. 31. La sécurité au service desmétiers Systèmes
  32. 32. IGNORER ? ADOPTER ? CONTENIR ? BLOQUER ?Qu’allez-vous faire ?
  33. 33. Consumérisation : Cadrer la politique Contenir Adopter L’informatique fournit L’informatique fournit • Politique/Standards/Meilleures pratiquesValeur pour les métiers • La politique et les standards • L’architecture d’entreprise • Les technologies • Les opérations, le support et le help desk • L’architecture d’entreprise • La correction en cas problème • Les opérations et le support • Niveaux de service pour la disponibilité Ignorer L’informatique fournit Bloquer • La politique et les standards • La mise en vigueur L’informatique fournit • L’auto-hébergement (par de support par l’IT) • La politique Atténuation des risques
  34. 34. Consumérisation chez Microsoft Contenir AdopterValeur pour les métiers Self-Host Bloquer Ignorer Atténuation des risques
  35. 35. Consumérisation : risque ouopportunité La consumérisation de l’informatique ne va pas forcément de pair avec perte de contrôle et brèche de sécurité ; au contraire ! L’énergie et le temps dépensés par une DSI pour censurer certains usages et outils peuvent être mieux employés à écouter, réguler lest sans perdre le contrôle ! Lâcher du et reconnaître la compétence de chaque collaborateur en lui offrant un cadre de travail personnalisé A condition de protéger le système d’information des abus et pratiques dangereuses, c’est un système bien plus motivant pour chacun, et partant plus efficace, qui peut être mis en place
  36. 36. LEADERSHIP Global PhishingDémantèlement de Botnet Enforcement Anti-PhishingDigital PhishNet Initiative Initiative Signal Spam Microsoft Security Response Alliance
  37. 37. MERCI !
  38. 38. Microsoft France39, quai du président Roosevelt 92130 Issy-Les-Moulineaux www.microsoft.com/france

×