Stratégie de sécurité Microsoft

740 vues

Publié le

Revue sur la stratégie de sécurité Microsoft pour 2014

Speakers :
Bernard Ourghanlian (Microsoft)

Publié dans : Technologie
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
740
Sur SlideShare
0
Issues des intégrations
0
Intégrations
1
Actions
Partages
0
Téléchargements
61
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Stratégie de sécurité Microsoft

  1. 1. La stratégie sécurité de Microsoft Bernard Ourghanlian CTO & CSO Microsoft France bourghan@microsoft.com, @Ourghanlian Sécurité
  2. 2. Sommaire
  3. 3. Social Mobil e D’ici 2016 La génération Y représentera , les smartphones et les tablettes seront entre les mains de 1 milliard de consommateurs dans le monde 1,3 milliard 75% de la main d’œuvre aux US en 2025 65% La population des collaborateurs mobiles représentera soit plus de 37% du total de la main d’œuvre en 2015 Clou d des entreprises déploient au moins un outil de réseau social 70% 80% Plus de des nouvelles Apps ont été distribuées ou déployées sur/depuis des Clouds en 2012 des organisations utilisent déjà ou investiguent des solutions de Cloud Computing Big Data Le contenu numérique représente 2,7 ZO* en 2012, en progression de 48% depuis 2011, et représentera 8 ZO en 2015 80% de croissance des données non structurées dans les 5 prochaines années
  4. 4. • Du côté des attaquants • Du côté des défenseurs
  5. 5. Sans discrimination Cible consommateur Vecteur unique Manuelle Poste de travail Visible Acteur solitaire Spam Vol d’information Ciblée Cible entreprise Vecteurs multiples Automatisée Terminal et Cloud Dissimulée Ecosystème organisé Vol d’information Destruction d’information Le modèle traditionnel de sécurité des SI n’est plus adapté !
  6. 6. Sommaire
  7. 7. Sécurité Vie privée Sécuriser contre les attaques Protéger contre une divulgation non désirée Protéger la confidentialité, l’intégrité et la disponibilité des données et des systèmes Choix et contrôle de l’utilisateur Aider à gérer les risques Fiabilité Sûr et disponible Pratiques commerciales Maintenable Les produits et les services en ligne adhèrent à des principes d’information équitables Service prévisible, cohérent, réactif Engagement sur une interopérabilité centrée sur les préoccupations de nos clients Ouvert, transparent Résilient, facile à restaurer Prouvé, prêt
  8. 8. Innovation Métier Stratégie Sécurité
  9. 9. Intelligence et analyse pour l’atténuation des menaces Tirer parti du Big Data pour améliorer la sécurité Accès flexible et dynamique pour des services Cloud publics, privés, hybrides Changer la façon dont les gens communiquent et collaborent Etendre votre business au Cloud tout en protégeant vos données Prolifération des terminaux personnels et d’entreprise Les employés utilisent en toute sécurité les postes de leur choix Connecter les gens et accélérer la collaboration sécurisée
  10. 10. Permettre aux utilisateurs d’utiliser en sécurité les terminaux qu’ils choisissent
  11. 11. CRM Online
  12. 12. Sommaire
  13. 13. Utilisateurs Appareils Les utilisateurs veulent pouvoir travailler depuis n’importe où et avoir accès à toutes les ressources. L’explosion et la diversité des appareils mobiles remet en cause l'approche basée sur les standards IT de l'entreprise. Applications Le déploiement et la gestion des applications sur l’ensemble des plateformes est complexe. Données Les utilisateurs doivent être productifs tout en respectant la contraintes de conformité et en limitant les risques.
  14. 14. Donner le choix aux utilisateurs Permettre aux utilisateurs de travailler à partir de l’appareil de leur choix et offrir un accès cohérent aux ressources de l’entreprise. Unifier l’environnement Utilisateurs Appareils Applications Données Fournir une gestion unifiée des applications et des appareils à demeure et dans le Cloud. Protéger les données Accès. Protection. Administration. Aider à protéger les informations de l’entreprise et gérer les risques.
  15. 15. √ Gestion des identités et des accès Classification & Protection des données Gestion de la sécurité Une identité unique pour l’accès aux ressources à demeure et dans le Cloud Centralisation des informations d’entreprise pour le respect de la conformité et la protection des données Analyse de risques Cloud Une connexion automatique aux ressources internes à la demande Contrôle d’accès aux applications et données basées sur des politiques de sécurité Chiffrement automatique des données basé sur la classification des documents Protection des données sur tous les appareils mobiles Changer de manière durable les pratiques d’administration Gestion des appareils et des applications
  16. 16. Gestion des identités Défis Solutions Offrir aux utilisateurs une identité commune pour l’accès à des ressources hébergées sur site dans un environnement d'entreprise, et sur des plateformes Cloud. Les utilisateurs bénéficient d’une expérience de signature unique (SSO) pour l’accès aux ressources, indépendamment de la localisation. Gérer des identités multiples et maintenir l’information synchronisée entre les environnements est une charge pour les ressources IT. Les utilisateurs et l’IT peuvent tirer parti de l’identité commune pour l’accès aux ressources externes à travers la fédération L’IT peut gérer de manière cohérente les identités sur site et dans le Cloud.
  17. 17. L’IT peut configurer les applications SaaS les plus populaires depuis la galerie des applications Les Développeurs peuvent construire des applications s’appuyant sur le modèle d’une identité commune Les utilisateurs bénéficient d’une signature unique (SSO) pour toutes leurs ressources (internes, applications de Windows Azure, Office 365 et applications tierces) L’IT peut fournir aux utilisateurs une identité commune pour les services à demeure ou dans le Cloud en tirant parti de Windows Server Active Directory et de Windows Azure Active Directory
  18. 18. Gestion des accès Défis Solutions Les utilisateurs veulent utiliser l’appareil de leur choix et avoir accès aux applications, données et ressources tant personnelles que professionnelles. Les utilisateurs peuvent enregistrer leurs appareils, ce qui les rend connus de l’IT, qui peut utiliser l’authentification de l’appareil pour l’accès aux ressources de l’entreprise. Les utilisateurs veulent disposer d’un moyen simple pour accéder à leurs applications professionnelles depuis n’importe où. Les utilisateurs peuvent enrôler leurs appareils ce qui leurs donne l’accès au portail de l’entreprise offrant un accès cohérent aux applications et données, en plus de la gestion de leurs appareils. Les départements IT veulent mettre en place ces scénarios pour les utilisateurs mais doivent également contrôler l’accès aux informations sensibles tout en restant en conformité vis-à-vis des politiques réglementaires. L’IT peut publier l’accès aux ressources de l’entreprise avec un contrôle d’accès basé sur l’identité de l’utilisateur, l’appareil qu’il utilise et sa localisation.
  19. 19. Le contexte d’accès inclut les caractéristiques de l’identité présentée, le niveau de confiance du terminal mobile, la localisation et la force de l’authentification Identité Niveau de confiance de l’appareil Les données et services sont classifiés selon les règles de l’entreprise et en respect des réglementations Niveau de confiance de la localisation Force de l’authentification Les politiques d’accès définissent les règles d’accès en fonction du contexte et de la sensibilité des services et données accédés
  20. 20. 1. L’utilisateur tente de se connecter ou de faire une action sujette à MFA 2. Quand l’utilisateur s’authentifie, l’application ou le service effectue un appel au service MFA 3. L’utilisateur doit répondre à un challenge (SMS, un appel téléphonique ou application mobile) Appareils Utilisateur Apps & Data 4. La réponse est retournée à l’application qui autorise l’accès à l’utilisateur 5. L’IT peut configurer le type et la fréquence de la sollicitation MFA à laquelle l’utilisateur doit répondre
  21. 21. Augmentation de la résistance aux malwares en intégrant un anti-malware de base, en sécurisant la séquence de démarrage et en diminuant la surface d’attaque des sous-systèmes de sécurité Renforcement de la confiance dans l’authentification par la protection des identités avec la carte à puce virtuelle et l’intégration en standard de la biométrie Protection des données sensibles dans un contexte BYOD avec le chiffrement du périphérique pour toutes les déclinaisons de l’OS et l’effacement sélectif des données entreprise Renforcement de la sécurité par le matériel Utilisation du TPM et UEFI pour sécuriser la séquence de démarrage, garantir l’intégrité, chiffrer le disque, protéger les identités Utilisation de services en ligne SaaS pour valider l’état de santé de l’appareil (Provable PC Health) et la réputation des sites et applications (Smartscreen) pour un écosystème plus sûr DirectAccess VPN Une connexion VPN automatique offre un démarrage transparent du VPN dès lors qu’une connexion internet est présente ou bien lorsque l’utilisateur lance une application qui nécessite un accès aux ressources de l’entreprise
  22. 22. Cycle de vie des applications avec possibilité de déployer (mode push) les apps, mise à jour ou suppression en mode silencieux. Mise à disposition d’applications du Windows Phone Store depuis le MDM et liste des apps installables ou bloquées. Wi-Fi Entreprise avec support de l’authentification par certificat, profils de configuration Wi-Fi et certificats distribués par MDM et politiques Wi-Fi avancées VPN auto-déclenché avec client intégré compatible avec la plupart de VPN avec un profil par application Chiffrement de l’appareil y compris pour les applications et données stockées sur microSD. Photos, musiques et vidéos restent non-chiffrées Intégration MDM avec client OMA SynchML intégré et possibilité de personnaliser l’expérience utilisateur d’enrôlement Gestion des certificats : cycle de vie géré depuis le MDM; utilisation pour authentification utilisateur, Wi-Fi, VPN, navigateur, applis métier; Support S/MIME et des cartes à puce virtuelles
  23. 23. Classification et protection des données √ Défis Solutions Les utilisateurs apportent leurs propres appareils au travail, veulent accéder à des informations sensibles y compris localement sur l’appareil. Les utilisateurs peuvent travailler sur l'appareil de leur choix et être en mesure d'accéder à toutes leurs ressources, indépendamment du lieu ou de l’appareil. Une quantité importante de données d'entreprise peut être trouvée localement sur les appareils des utilisateurs. L’IT doit être en mesure de sécuriser, classifier et protéger les données en fonction du contenu, et pas seulement en fonction de leurs localisations, tout en respectant les contraintes réglementaires. L’IT peut appliquer de manière centralisée un ensemble de politiques d'accès et d'audit, et être capable de protéger les informations sensibles en fonction du contenu des documents. L’IT peut auditer et établir des rapports sur l’accès à l’information.
  24. 24. Revendications utilisateur et appareil – Les revendications utilisateur/ appareil sont définies en plus des groupes pour être utilisées comme conditions d’accès à des informations classifiées Contrôle de l’accès aux fichiers – Des politiques d’accès centralisées permettent aux entreprises d’appliquer des politiques de sécurité. Par exemple, il est possible de définir qui peut accéder à des informations concernant des dossiers de santé dans l’entreprise. Classification – Définition de propriétés de classification sur la base de catégories prédéfinies (Informations privées, Sécurité de l’information, données légales,…) avec extension possible selon le contexte client Classification automatique – Les règles de classification sont appliquées de manière continue par le moteur de classification de fichiers en fonction des propriétés de ressource et du contenu des documents
  25. 25. Classification automatique basée sur le contenu. La classification s’applique à la création ou modification des fichiers. La classification, les politiques d’accès et l’application automatique des droits d’usage (RMS) s’exercent sur les données distribuées sur les clients à travers les Work Folders. Administration centralisée des politiques de contrôle d’accès et d’audit depuis l’annuaire Active Directory. L’intégration avec Active Directory Rights Management Services offre un chiffrement automatique des documents. Les politiques d’accès et d’audit centrales peuvent s’appliquer sur des ensembles de serveurs de fichiers, avec une classification en quasitemps réel à la création ou modification des documents
  26. 26. Serveurs de fichiers Les fichiers qui contiennent des données sensibles sont protégés automatiquement Appareils Apps compatibles RMS Les utilisateurs peuvent collaborer avec des partenaires et sur tous les appareils importants. Office 365 bénéficie de la fonctionnalité RMS Serveurs de collaboration Ajouter facilement un service de protection RMS aux serveurs collaboratifs et à demeure tels que ceux exécutant Exchange et SharePoint. Azure RMS reçoit et valide les demandes d'authentification et autorisation et en échange distribue des licenses numériques
  27. 27. Gestion de la sécurité Défis Solutions Les utilisateurs sont de plus en plus exigeants et demandent à l’IT des solutions modernes. Les métiers abordent la sécurité sous l’angle de la gestion des risques. L’infrastructure du système d’information est de plus en plus complexe avec un nombre important de compte à hauts privilèges. L’IT change de manière durable les pratiques d’administration. Le nombre et la diversité des appareils augmentent dans l’organisation. L'IT connait et maintient la sécurité des appareils et des applications qui sont utilisées. L'IT peut auditer et vérifier l’efficacité des mesures de sécurité.
  28. 28. Nous pensons que la confiance passe par la transparence. Ainsi, un Trust Center est disponible pour les services Cloud Microsoft. Microsoft s’engage à ne PAS utiliser les données de ses clients à des fins publicitaires et à ne pas en tirer des informations à de quelconques fins commerciales. Les clients restent propriétaires des données qu’ils stockent dans le Cloud Microsoft. Ils peuvent télécharger à tout moment et sans assistance de Microsoft une copie de l’ensemble des données. Concernant la sécurité physique, Microsoft utilise des utilise une combinaison de technologies innovantes ainsi que des mesures physiques traditionnelles. Avec Office 365, le client connaît les pays où se trouvent les centres de données Microsoft dans lesquels ses données sont stockées. Toutes les applications Microsoft déployées dans les centres de données Microsoft ont été soumises à un processus de cycle de vie de développement sécurisé, le Security Development Lifecycle (SDL), initié par Microsoft dès 2004.
  29. 29. Contrôle de l’authentification Fédération d’identité Audits Politique de sécurité Exchange ActiveSync Cycle de vie de Surveillance développe permanente ment sécurisé Automatisat Isolation des ion données des clients opérations Données chiffrées Classification et protection des messages/documents Message Encryption Azure RMS S/MIME DLP Authentification multi-facteur Windows Azure MFA Gestion des identités Windows Azure Active Directory Réseau sécurisé Antivirus/Antispam Exchange Online Protection
  30. 30. L’analyse de risques Cloud permet de prendre une décision basée sur des critères factuels plutôt que sur des impressions sans se concentrer uniquement sur des critères techniques La démarche évalue la tolérance aux risques de l’entreprise, les risques liés à la solution Cloud visée et compare ensuite les résultats domaine par domaine Les résultats permettent d’envisager des stratégies d’atténuation des risques, d’acceptation des risques résiduels, ou d’orientation vers des solutions Cloud privé ou hybride L’analyse de risques Cloud est basée sur les travaux de la Cloud Security Alliance, elle évalue un ensemble exhaustifs de 15 domaines dans les catégories Gouvernance, Technique, Opérations et Business L’outillage sous forme de questionnaire accompagne la démarche, fournit visuellement les résultats et permet d’ajuster en fonction des contremesures présentées L’analyse permet de faire ressortir les critères cruciaux dans le choix du fournisseur de Cloud et d’évaluer la propre maturité de l’entreprise pour l’adoption de solutions dans le nuage
  31. 31. Lutte contre Cybercriminalité Défis Solutions La cybercriminalité devient l’un des défis majeurs non seulement pour les états mais pour l’ensemble des citoyens Création du Microsoft Cybercrime Center à Redmond avec un équipe de 100 experts (avocats, techniciens, analystes…) ; Centre ouvert à des experts en sécurité venant d’autre entreprises ou organisations En France, plus de 10 millions de personnes ont été victimes de la cybercriminalité pendant cette période, engendrant près de 2,5 milliards d’euros de pertes 20% des entreprises ont déjà été attaquées par des personnes malveillantes et la moitié des internautes ont été victimes de cybercriminalité l’année dernière Des outils pour cartographier les réseaux du crime organisé, de détection de la cybercriminalité au niveau mondial (Cyberforensics), d’aide au repérage des botnets actifs Formation des forces de l’ordre (2CENTRE, Centre Expert de lutte contre la Cybercriminalité Français) Signal Spam, Phishing Initiative,…
  32. 32. Sommaire
  33. 33. √ Gestion des identités et des accès Classification & Protection des données Gestion de la sécurité Une identité unique pour l’accès aux ressources à demeure et dans le Cloud Centralisation des informations d’entreprise pour le respect de la conformité et la protection des données Analyse de risque Cloud Une connexion automatique aux ressources internes à la demande Contrôle d’accès aux applications et données basées sur des politiques de sécurité Chiffrement automatique des données basé sur la classification des documents Protection des données sur tous les appareils mobiles Changer de manière durable les pratiques d’administration Gestion des appareils et des applications
  34. 34. Titre Heure et niveau Gérer vos identités et vos accès pour le Cloud avec Windows Azure Active Directory (Premium) 12h15-13h00 (niveau : 300) Windows Phone 8 et la sécurité 12h15-13h00 (niveau : 200) BYOD : les nouveaux scénarios d'authentification adaptés au monde de l'entreprise 15h15-16h00 (niveau : 300) Windows Azure Multi-Factor Authentication, presentation et cas d'usage 16h30-17h15 (niveau : 200) Vous avez dit protocoles Web d'authentification et d'autorisation ! De quoi parlez-vous ? 17h45-18h30 (niveau : 300)
  35. 35. Titre Heure et niveau Classifier vos données pour envisager sereinement le Cloud et le BYOD ! 11h00-11h45 (niveau : 200) Quoi de neuf pour les identités dans Office 365 ? 12h15-13h00 (niveau : 300) Protéger vos données dans un contexte BYOD/Office 365 avec le nouveau service Microsoft RMS 15h15-16h00 (niveau : 200) Protéger vos données à demeure avec le nouveau service Microsoft RMS et les boitiers HSM Thalès 16h30-17h15 (niveau : 300) BYOD demo Extravaganza – Démonstration du « Bring Your Own Device » en entreprise 16h30-17h15 (niveau : 200) Windows XP chronique d'une mort annoncée 17h45-18h30 (niveau : 200)
  36. 36. Titre Heure et niveau Stratégie Bring You Own Device (BYOD) et nouvelles directions de solutions 12h15-13h00 (niveau : 200)
  37. 37. Digital is business

×